NOTA: questo articolo è stato pubblicato 2 anni 3 mesi 23 giorni fà, quindi alcuni contenuti o informazioni presenti in esso potrebbero non essere aggiornate. 
In rete si sono scritti articoli, aperte discussioni, riguardo all’ attacco di defacement del sito web Poste Italiane avvenuto sabato sera 10 ottobre messo a segno da due hacker che si firmano Mr.Hipo e StutM.
Questo il messaggio lasciato dagli hacker che campeggiava sabato sera sul sito web di Poste Italiane:
“Le Poste italiane sono state oscurate ?!
Perchè questo atto di forza?
Per dimostrare a milioni di Italiani
che i loro dati sensibili non sono al sicuro!
Sembra pazzesco eppure tutta la sicurezza garantita
nei servizi on-line di e-commerce è solamente apparente.
Per vostra fortuna noi siamo persone non malintenzionate,
perciò i vostri dati ed i vostri accounts non sono stati toccati;
Ma cosa succederebbe se un giorno arrivasse qualcuno
con intenzioni ben peggiori delle nostre?
Con questo gesto quindi, invitiamo i responsabili ad occuparsi
della grave mancanza di sicurezza nei servizi on-line delle Poste s.p.a”
All’ indomani Poste Italiane rilascia un comunicato che rassicura gli utenti in merito alla sicurezza dei dati personali e minimizza l’ accaduto: “È solo un ‘defacement’ che riguarda il sito informativo di Poste.it. Non sono stati violati i server con i dati personali degli utenti, che quindi non sono mai stati in pericolo” afferma Gerardo Costabile, responsabile Sicurezza Logica, Poste Italiane.
Incuriosito dal commento di rizlox lasciato su Un Grazie agli Hacker delle Poste Italiane, approfondisco ulteriormente quelo che sembra ad una prima superficiale lettura un comune ed innocuo defacement.
Come al solito arrivo esimo. 
In un articolo dal titolo Poste Italiane sotto attacco hacker, SoS Tariffe segnala che nonostante il bug fosse noto da tempo, quasi 3 mesi, Poste italiane non ha in alcun modo provveduto a risolvere il grave problema.
Sul sito BayWorlds nell’ articolo
Poste Italiane hacked, sql injection pubblicato il 5 settembre veniva spiegato come era possibile effettuare un attacco sfruttando sql injection.
Inoltre sono pubblicate due immagini (screenshot) che senza ombra di dubbio dimostrano l’ accesso al database e ai dati sensibili degli utenti e che per completezza d’ informazione mostro sotto. 
Prima immagine: interfaccia grafica DBMS Oracle.
Seconda immagine: tabelle database e alcuni dati sensibili.
(Clicca sull’ immagine per ingrandire)
Alla luce dei fatti sorgono spontanee alcune riflessioni:
1 – il furto dei dati sensibili quali password, numeri di carta di credito, ecc… sono veramente da attribuirsi nella maggior parte dei casi alle note email di phishing ? 
2 – i due hacker assicurano che era un’ azione dimostrativa, ma quali altre persone erano a conoscenza del bug ? e sopratutto avevano la stessa meritevole intenzione ? 
3 – perchè Poste dopo essere state avvisata anticipatamente del grave problema di sicurezza (Until today (09-08-2009), Poste Italiene has not responsed in any way and the parameter is still vulnerable, exploitable.) con il potente sistema di controlli e le squadre di ingegneri non ha provveduto immediatamente a eliminare il bug ? 
Attendo vostre opinioni in merito alla vicenda e sopratutto quali riposte dare ai tre quesiti ?!
Vuoi ricevere i nuovi articoli comodamente nella tua casella e-mail?
Iscriviti alla Newsletter gratuita! ————————————————
Una nuova funzionalità del conto PayPal permette ai venditori di far confluire il saldo accumulato sulla carta Postepay. L'e-commerce diventa ...
E con oggi credo siamo vicini al centinaio di email truffa o phishing che intasano la casella di posta. Chissà ...
La carta prepagata ricaricabile di Poste Italiane che ti permette di operare ovunque in totale sicurezza Semplici risposte alle email ...
Questa l' email arrivata oggi ma datata 30 gennaio con l' invito ad autenticarmi per diventare un utente verificato ed ...
La Mastercard, che è al secondo posto nel mondo per importanza nel settore delle carte di credito, ha lanciato un ...
Con Dot TK puoi rinominare qualunque indirizzo web in un nome a dominio gratuito corto e facile da ricordare.
Il portale di aste online made in Italy.
Suguimi su Twitter 
Ciao, ma guarda che quei dati non sono dei clienti ma degli amministratori del database, come è stato spiegato da http://www.diventare-hacker.com/i-dettagli-della-violazione-di-poste-it/
notte
non so di chi siano quelle user id e password, ma certo non erano di clienti
(non ho mai visto un cliente angrafizzato come ‘amministratore’ e non vi sono riferimenti ai rapporti bancari o un numero di identificazione personale: con oltre 10 mln di clienti un nome e cognome non identifidicano un bel nulla)
Ecco… questi sono quei post di libidine che non capita spesso di trovare.
Quattro martellate sui… senza fronzoli e con spietata efficienza.
Grande! Complimenti!
E chissà mai che la gente la smetta di bersi tutto…
@ herr doktor
certo, nome e cognome si trovano anche su Facebook.
Io ricordo ancora i casi Mastercard e CartaSi …
ciao, ma vedi che quelli sono userid di utenti di un server/applicativo.
i clienti hanno nome.cognome@poste.it
Ciao a tutti!
come ho illustrato nell'articolo del mio blog io ribadisco ancora di più il mio GRAZIE ai due Hacker. Non ero a conoscenza di questi dettagli, ma se le informazioni e le immagini sono autentiche il mio rammarico cresce.
Avvisati da 3 mesi e non hanno fatto niente? Non è ammissibile….
Si devono svegliare e capire che hanno in mano i soldi della gente…
Non sono certo che la colpa sia sempre dell'utente sprovveduto..molte volte si…ma questi fatti mi fanno riflettere. A presto! Ciao a tutti!
HackGeek
Bravo
Bell'articolo.
@herr doktor scrive:
(non ho mai visto un cliente angrafizzato come ‘amministratore’)
Quindi secondo te il fatto di disporre della user name e password dell'amministratore del sistema è tutto regolare!?
le domande di Tower sono assolutamente legittime. I veri informatici possono fare praticamente di tutto con un pc l'unico limite alle loro azioni è dato dalla loro moralità.
Ciao
Lugi » LuVi Weblog
La mente è come un paracadute, funziona solo se si apre