Deyla vs Aruba (Unicredit 2)

Deyla vs Aruba (Unicredit 2)

Registro e pubblico la simpatica conversazione che sto tenendo con Aruba.

La speranza è quella di avere il diritto a pubblicare quel che voglio, se questo non lede nessuno. E che i miei diritti (provati) valgano come i diritti di una banca (ipotetici)

Le premesse e le mie ipotesi sono nell’articolo Unicredit vs Deyla

Tutte le mail di Aruba terminano con un divieto di diffusione a persone diverse dal destinatario, essedno io il destinatario, diffondo (omettendo i dati dell’operatore)

22 Aprile – Aruba: ti abbiamo bloccato (bastardo)!

Gentile cliente,

nel dominio deyla.com a lei intestato e’ stata rilevata una pagina (percorso http://www.deyla.com/index.php?azione=2&vai=www.unicreditbanca.it) inserita per ottenere illegalmente i dati personali di clienti di un istituto di credito.

La pagina index.php è stata pertanto rinominata in index.php_RIMUOVERE per impedire ulteriori accessi, la
invitiamo a rimuovere tale materiale e a verificare eventuali bug di sicurezza presenti negli script utilizzati,
aggiornando all’ultima versione disponibile.

In mancanza di tali modifiche e in caso di nuove segnalazioni saremo tuttavia costretti a bloccare il dominio.

Cordiali Saluti,
==============================
Aruba S.p.A. – Webserver Staff
Aruba.it http://www.aruba.it
==============================

23 Aprile – Io: cosa succede? parliamone!

sottotitolo, è Pasqua e chiudete per 4 giorni, non bloccatemi per così tanto

Mi avete appena bloccato il dominio!
La pagina non serve assolutamente per avere i dati dei clienti unicredit,
non ha falle di sicurezza
e
vorrei una spiegazione sull’operazione effettuata,
o un contatto telefonico con cui chiarire la questione.

Jacopo Deyla
segue mio telefono

26 aprile – Aruba:  Fai phishing, controlla!

Gentile cliente,
come indicatole dal mio collega la pagina da lei indicata veniva utilizzata per operazioni malevole di phishing pertanto dovrà provvedere a mettere in sicurezza gli applicativo da lei utilizzati per evitare che il suo dominio possa essere usato ulteriormente come testa di ponte per l’esecuzione di medesime attività illecite.

Saluti
= = = = = = = = = = = = = = = = = = = =

segue firma dell’operatore e recapiti

26 Aprile – Io: sicuri? aiutatemi non voglio commettere altri crimini!

Intanto grazie
di avermi fornito qualche altro tipo di recapito e di avermi risposto.

Vorrei evitare che accada di nuovo, e sistemare le cose:

a me le cose risultano diverse:

Рla index rinominata ̬ il motore del sito (rinominandomela mi avete bloccato tutto il sito)
– la index non ha mai fatto phishing o meglio a me non risulta

Vorrei sapere da chi è giunta la segnalazione,
o almeno su quali dati è basata questa “accusa” di phishing,
a me non risulta faccia in alcun modo phishing.

PS
Chiedere a voi di rimuovere una pagina, non dovrebbe essere il secondo passaggio, prima chiederlo a me?
Non è un po’ drastica come azione?

27 Aprile – Aruba: Abbiamo tutti i diritti di bloccarti il sito quando vogliamo, e smetti di fare phishing!

Gentile cliente,
le ricordo innanzitutto quanto riportato (e da lei accettato in fase di ordine/rinnovo del dominio) presso il contratto di hosting del servizio da lei acquistato:

..
..
15) Obblighi, divieti e responsabilità del Cliente
15.4 A titolo esemplificativo ma non esaustivo, il Cliente si impegna a:
[..]
n) non effettuare phishing o altre azioni equivalenti di natura illecita tendenti a sottrarre agli utenti dati personali o altre informazioni riservate (a titolo esemplificativo ma non esaustivo: codici d’accesso, password, userID);
[..]
15.5 In caso di violazione o di presunta violazione anche di uno soltanto degli obblighi sopra indicati, Aruba avrà la facoltà di intervenire nelle forme e nei modi ritenuti opportuni per eliminare, ove possibile, la violazione o la presunta violazione ed i suoi effetti, e di sospendere e/o interrompere e/o disabilitare l’accesso al Servizio, immediatamente e senza alcun preavviso, riservandosi altresì il diritto di risolvere il contratto ai sensi del successivo Art. 19 e di trattenere le somme pagate dal Cliente a titolo di penale, salvo il risarcimento del maggior danno. Il Cliente prende atto ed accetta che nulla avrà da pretendere da Aruba a titolo di rimborso, indennizzo o risarcimento danni per i provvedimenti che la stessa avrà ritenuto opportuno adottare.
[..]
..
..

Come indicatole e come da link fornitole il suo dominio era utilizzato per operazioni malevole di phishing atte a rubare dati sensibili pertanto dovrà provvedere a mettere in sicurezza il suo applicativo per evitare il ripetersi di medesima situazione.

Oltre quanto indicatole non è possibile fornirle ulteriori informazioni.

Saluti
= = = = = = = = = = = = = = = = = = = =
solito operatore

27 Aprile РIo: Conosco il contratto, ma cerchiamo una soluzione costruttiva e ditemi perch̬ faccio phishing, vi prego!!

sottotitolo … ma l’avete almeno guardata la pagina incriminata?

“Nome Operatore”, grazie della risposta,
ma è poco costruttiva.

Conosco il contratto,
non c’è bisogno che lo citiate, non è un bel modo per giungere ad una felice conclusione di un problema.

Io chiedevo maggiori spiegazioni in senso costruttivo e preventivo, per evitare che mi danneggiate solo perchè qualcuno fa una segnalazione non supportata da alcun dato.

E’ vostro diritto bloccarmi anche solo per un sospetto, ma una pagina, prima di bloccarla (soprattutto se blocca l’intero sito), la si controlla, la si guarda almeno? L’avete fatto?

Temo di no: la pagina non faceva phishing erano gli utenti, distratti che la usavano nel modo sbagliato,
temo che per phishing si intendesse qualcosa che accade su qualsiasi altra pagina del mio sito, es.

http://www.deyla.com/index.php?azione=2&vai=www.auba.it

E’ phishing quella pagina?

Credo sia mio diritto saperlo, al fine di evitare il ripetersi di questa situazione.
Se non dovesse essere phishing, gradirei poter ripristinare la mia pagina così com’era.

grazie
Jacopo Deyla

28 Aprile – Aruba: cavoli tuoi, fai phishing ti blocchiamo. Sei tu che devi sistemare, anche se non sai cosa… sistema

Gentile cliente,
le ricordo innanzitutto che non è compito dello Staff di aruba.IT controllare/modificare o verificare la correttezza delle pagine inserite da ogni cliente: ogni utente stesso è responsabile delle pagine web che inserisce presso il proprio sito e pertanto le confermo che è compito di ogni singolo utente accertarsi che l’utilizzo di queste non possa contravvenire in nessun modo alla norme vigenti ed al contratto stesso che è stato accettato.

Come indicatole la pagina in questione era usata per effettuare phishing di dati ovvero veniva usata per lo spillaggio di dati sensibili di una banca:

In ogni caso, indipendentemente dalla pagina stessa come da lei stesso indicato , la pagine web del suo dominio risulta vulnerabile ad azioni di tipo XSS (cross-scripting) pertanto il suo dominio può esser usato, da terzi, come testa di ponte per qualsiasi operazione malevola che sia SPAM, phishing o altro.

dovrà per evitare un possibile blocco del suo dominio provvedere a mettere in sicurezza la sua pagina web in modo che non sia più vulnerabile a XSS

Saluti
solito operatore

28 Aprile – Io: non faccio phishing, e siete voi che me lo dovete provare…

sottotitolo: ma l’avete almeno guardata la pagina incriminata?

“Solito operatore” grazie,
ora mi è un po più chiara la questione.

ripeto: siete certi che la pagina facesse phishing? perché io i dati in
input li filtro e non vengono salvati nel db. non mi pare che in circa 7
anni da quando sono online sia mai successo.

temo sia una supposizione errata che non è basata su alcuna prova.

capisco la vostra posizione e le azioni intraprese ma è vostro obbligo,
nei miei confronti come cliente. verificare almeno a posteriori.

è come se io scrivessi ad arube che lei è un ladro e Aruba la
licenziasse solo per il sospetto. e non dico che dovesse provare la sua
innocenza, ma che nessuno verificasse se effettivamente manchi qualcosa…

fa phishing o davvero è esposta a xss? a me non risulta e voi non mi
dite in quale circostanza ciò sia avvenuto o come possa succedere

si parla di ipotesi e accuse non provate

quindi in mancanza di prove a supporto della tesi di phishing
rispristinerò la pagina al più presto e ritengo di averne diritto visti
i vostri chiarimenti

J

28 Aprile РAruba:̬ evidente che fai phishing non dobbiamo certo spiegartelo, correggi

Gentile cliente,
il fatto che inserendo in un browser i link

http://www.deyla.com/index.php?azione=2&vai=www.aruba.it

http://www.deyla.com/index.php?azione=2&vai=www.gazzetta.it

venga aperto la parte di sito inserita nel link stesso indica e dimostra chiaramente una vulnerabilità XSS della sua pagina web. In questo modo chiunque può inserire , sfruttando la vulnerabilità indicata, un qualsiasi indirizzo web ed usare a proprio piacimento il suo stesso dominio come testa di ponte per operazioni malevole di SPAM, PHISHING, ecc…

Le confermiamo inoltre che il problema indicatole si è verificato proprio a seguito dell’utilizzo di questa vulnerabilità: il suo dominio, era usato usato come testa di ponte per operazioni malevole di SPAM/ PHISHING e le confermiamo anche che il link indicatole in precedenza causava medesima situazione.

Il fatto che l’applicativo possa essere on line da 7 anni o anche da più tempo non può  essere considerata una motivazione valida per considerare il sito protetto e sicuro.

Per non riscontrare problemi e, indipendentemente dal link stesso che le era stato precedentemente indicato, dovrà provvedere a rendere la pagina index.php del suo dominio (così come tutte le altre pagine web del suo stesso sito) non più vulnerabili ad azioni del tipo XSS

Saluti
sempre il solito operatore vittima delle tue mail

28 Aprile – Io: si ma mi dite come faccio a fare phishing?

continuiamo a parlare di teoria:
dimistratemi quel che dite con un attacco di quel genere o io rimetto online la pagina

per me è sicura perché quell indirizzo viene processato, filtrato e aperto in un frame a parte ovvero proprio sul sito del chiamante e non sul mio.

finchè non mi mostrate un attacco del genere e non della teoria io ho tutti i diritti di rimettere online la pagina

29 Aprile – Aruba (brucia) e ancora maltratta il suo cliente

Gentile cliente,
i link stessi che le sono stati indicati rappresentano un conferma ed una prova (contrariamente a quanto da lei asserito) che le sue pagine web sono vulnerabili a XSS: come può vedere e come dimostratole si può inserire qualsiasi nome di sito ed usare il suo dominio in maniera malevola (basta inserire al posto di www.aruba.it un URL di un sito o di una pagina usata per operazioni malevole).

Inserendo una pagina o un link malevolo contrariamente a quanto da lei indicato, con questo tipo di vulnerabilità, il suo dominio può essere usato come testa di Ponte per l’invio di mail di SPAM o per operazioni di phishing, ecc..  infatti come URL non è presente quello del singolo dominio ma bensì quello del SUO DOMINIO.

in ogni caso, dimostratole chiaramente ed inequivocabilmente che il suo dominio è vulnerabile  ad XSS (perché su questo con i LINK che la abbiamo fornito non ci sono dubbi) la invitiamo a correggere questa situazione e questa vulnerabilità delle sue pagine web in quanto altrimenti ci potremo vedere costretti ad intervenire come contrattualmente previsto.

firmato il solito operatore

29 Aprile – Io:  Grazie per avermi dimostrato che non facevo phishing!

Caro operatore,
dopo un po’ che ti danno della testa di ponte, ci si comincia a stufare sai?!

Voglio solo ricordarti che stai parlando con un cliente, che per quanto ti scocci è quello che con la sua rete di clienti e di conoscenze porta soldi a chi ti paga lo stipendio.
In questo momento in cui Aruba ha subito un certo colpo per la credibilità del suo servizio, forse il vostro atteggiamento dovrebbe essere meno ottuso e più orientato alla soddisfazione di noi clienti.

Fissato questi punti provo a riepilogare, perchè ci stiamo un po’ perdendo:
1 -  mi avete bloccato il sito dicendo che facevo phishing ovvero acquisivo in modo illegale i dati dei clienti di Unicreditbanca.it
2 – dopo molta insistenza e varie mail il vostro personale tecnico non è mai stato in grado di dimostrarmi che lo abbia fatto e che la pagina incriminata lo facesse (di fatto stiamo parlando da un po’ solo di XSS)

La mia conclusione quindi è che se non siete riusciti a provare il mio phishing, avete bloccato in modo ingiustificato il mio sito.
E questo nonostante il contratto, lo ritengo un eccesso e un abuso e rivendico il mio diritto a mettere online la pagina rimossa.

Chiuso il discorso Phishing,
apriamo quello del cross site scripting di cui ora mi accusate, e che è un altro comportamento che potrebbe giustificare la rimozione delle pagine e chiusura del sito. Si tratta quindi di un argomento che mi sta a cuore e che per l’ennesima volta vorrei cercare di risolvere, approfittando delle vostre competenze tecniche, di molto superiori alle mie.

Lo scopo per cui è nato il motore di ricerca Deyla.com è quello di condividere link utili e  accessibili e di permettere alle persone di sconsigliare link inutili, pericolosi e inaccessibili. E’ in sostanza delicious qualche anno più vecchio, e un po’ meno noto.

Per fare questo, fa come tutti i motori: presenta una lista di risultati. Qualsiasi motore, se mandasse su siti “pericolosi” potrebbe essere accusato di comportamenti malevoli, se non ponesse un qualche tipo di rimedio, ad esempio avvisando l’utente. L’utente deve sempre essere libero di fare quel che vuole, a patto che sia consapevole di quel che fa.
La differenza tra il motore deyla.com e altri motori, è che deyla.com è diviso in frame, per evitare di dover fare sempre back col browser e per offrire immediatamente qualche informazione sul sito.

Questa è la tecnica di deyla.com per avvisare gli utenti che il sito che si sta visitando è o meno pericoloso ( l’url ncriminato di XSS ovvero www.deyla.com?azione=2&vai=sito ). La tecnica che lei afferma essere invece fonte di comportamenti malevoli è esattamente il suo contrario. E’ in sostanza un modo per segnalare siti dannosi, prima che Google, Firefox e gli altri  avessero inventato altri sistemi di segnalazione di Forgery.

Il problema di Deyla.com è solo che è nato prima e non è mai stato aggiornato. Ma sono state adottate tecniche per evitare XSS (questa) o altri potenziali tipi di attacchi (es. esecuzione di codice malevolo salvato nel db ecc.ecc.) in modo commisurato alle mie competenze tecniche. Fino ad oggi, sono stato in linea per 7 anni senza che vi fosse alcuna segnalazione del genere, è vero che non è una prova di sicurezza, ma d’altra parte un’applicazione è sicura finchè qualcuno non la viola… In ogni caso essere online da circa 7 anni è per me la prova di aver preso un numero di cautele sufficienti per garantire la sicurezza

Questa la conclusione del discorso, che spero aiuti a chiarire i malintesi.

Vorrei evitare di dovervi diffidare ufficialmente da rimettere mano alle mie pagine in modo ingiustificato.
Per ora visto il vostro atteggiamento,
posso solo ritenermi un cliente insoddisfatto con tutto quel che ne consegue.

Considererei per vostra convenienza chiuso il discorso,
cordiali saluti

2 maggio – Aruba: sempre la stessa solfa ma in tono più gentile

Gentile cliente,
la tecnica che lei ha indicato per l’apertura del suo dominio pone il suo stesso sito a rischio hacking come le è stato già indicato più volte: qualsiasi persona può inserire, sfruttando l’URL del suo dominio, il  percorso che vuole basandosi su pagine di altri siti e pertanto sfruttare il suo dominio per eseguire qualsiasi operazione malevola (questo le è stato già ampiamente descritto e dimostratole).

http://www.deyla.com/index.php?azione=2&vai=www.aruba.it

Le faccio un esempio: basta inserire, nel link sopra riportato, al posto di www.aruba.it l’indirizzo di un’altra pagina web per visualizzarla e pertanto, per terze persone, che vogliono usare il suo dominio per compiere operazioni malevole(illegali), sarà sufficiente sostituire medesimo indirizzo con quello utile ai loro scopi (una pagina di phishing, una pagina per fare mail bomb, ecc…): questo non deve avvenire per nessuna ragione e pertanto deve mettere in sicurezza il suo dominio.

Per fare ciò dovrà necessariamente evitare che il suo dominio venga utilizzato nella medesima maniera pertanto dovrà rivedere interamente la struttura del suo dominio secondo anche le sue conoscenze di programmazione oppure dovrà rivolgersi ad altri webmaster che la possano affiancare/seguire nello sviluppo del suo dominio.

Per il momento non interverremo ulteriormente presso il suo dominio ma se riceveremo ulteriori segnalazioni di operazioni malevole provenienti dal suo dominio oppure se questi verrà usato per operazioni illegali o tali da causare problemi ai nostri server, come contrattualmente previsto interverremo nella maniera ritenuta più opportuna.

Se non è soddisfatto del servizio che ha acquistato, le ricordo che il dominio è stato registrato come persona fisica pertanto potrà richiedere liberamente, in qualsiasi momento, la rescissione del servizio richiedendo anche il rimborso per il periodo non usufruito.

saluti (sempre lo stesso operatore)

2 maggio Io: Non ci capiamo, ma rifletteteci

non ci capiamo:

“Le faccio un esempio: basta inserire, nel link sopra riportato, al posto di www.aruba.it l’indirizzo di un’altra pagina web per visualizzarla e pertanto, per terze persone, che vogliono usare il suo dominio per compiere operazioni malevole(illegali), sarà sufficiente sostituire medesimo indirizzo con quello utile ai loro scopi (una pagina di phishing, una pagina per fare mail bomb, ecc…): questo non deve avvenire per nessuna ragione e pertanto deve mettere in sicurezza il suo dominio.”

è proprio una delle cose che voglio che succeda. Solo così il mio sito può permettere di segnalare frodi, siti pericolosi o siti utili e accessibili. Provi ad esempio http://www.deyla.com/index.php?azione=2&vai=www.sitomalevolodasegnalare.com
Apparirà un form per segnalare il sito, salvarlo su Deyla ed aggiungere commenti.
Se qualcuno mette una pagina di phishing, potrà segnalare agli altri che la pagina è di phishing. E’ un pro del sito Deyla.com, non è un difetto e non c’entra l’XSS.

In conclusione:

In tutti i casi, non mi avete ancora spiegato come avrebbe fatto il mio sito a fare phising.
Io penso di avere la risposta che no mi avete dato, ed è qui: http://www.deyla.com/p_commenti.php?vai=www.unicreditbanca.it&id_sito=3019
Il problema non è la mia pagina o il mio sito, ma sono gli utenti. I clienti unicredit, hannno inserito nel mio form i loro dati, nonostante fosse sempre scritto, in ogni passaggio, che non si trattave del sito Unicredit. Sbaglio?

non avrei mai detto che la cosa si sarebbe conclusa felicemente….

Next Post Previous Post

Comments are closed.