dylan "Tutte le sim risultano attivate in un ristretto periodo di tempo che intercorre tra il 25 giugno e il 18 settembre del 2018, di poco successive all’entrata nel mercato dell’operatore, che risale a giugno di quello stesso anno. Non ci sono quindi elementi tali da far supporre che un database di dati di 2,5 milioni di utenti esista realmente, dato che all’epoca l’operatore era molto lontano da una simile diffusione". Fonte: https://www.lastampa.it/tecnologia/news/2020/12/29/news/ho-mobile-smentisce-accesso-abusivo-ai-propri-sistemi-informatici-1.39711127
matteocontrini dylan La Stampa sbaglia ad assumere che «Il campione riguarda 10 utenti, scelti casualmente dal venditore», dato che non c'è scritto da nessuna parte che sono stati estratti casualmente
matteocontrini Ingegner-Gatto Post interessante su una possibile ipotesi del breach forzando il portale: https://resolverblog.blogspot.com/2020/12/ho-mobile-data-breach-series-what-if.html 🤦♂️🤦♂️🤦♂️🤦♂️ l'endpoint checkAccount che ti dice se un numero di telefono è cliente ho. mobile... 🤦♂️🤦♂️
handymenny matteocontrini e soprattutto ti restituisce l'id (senza nemmeno inserire la password), che è l'input di altri endpoint
mcpalls https://supporto.ho-mobile.it/t5/Forum-Risolvo-un-problema/DATABASE-BUCATO/m-p/166207/highlight/true#M126640 Attenzione, forse, è tutta colpa dei Calabresi 😀😃🙂
Ingegner-Gatto LucaTheHacker Grazie della precisazione, purtroppo le info al momento sono molto confuse quindi è difficile farsi un'idea definitiva anche se mi pare di capire che in "quegli" ambienti la reputazione sia tutto. Non avrebbe senso giocarsela così.
matteocontrini handymenny senza nemmeno inserire la password Questa è oggettivamente una scelta stupida... Andrebbe fatto il controllo di "username" + password insieme come in tutti i login dell'universo
[cancellato] Ingegner-Gatto Un genio chi ha pensato ad una cosa del genere! Da incoronare a cavaliere prendendolo a tastierate finché non si son staccati tutti I tasti... 🙁 Ma come si fa... Dico io, fare le due operazioni di verifica al frontend serverside invece che clientside no vero? Ci sta che al backend si faccia la ricerca telefono/ID utente ma regola zero dei sistemi di autenticazione è non dare informazione alcuna al client.
matfac25 Io in questo momento non riesco ad accedere all'app di Ho, nel senso che mi dice di inserire le credenziali al posto di farmi accedere con l'impronta digitale come al solito. Però se mi chiamo con un altro telefono il cellulare squilla.
Hadx matfac25 Io in questo momento non riesco ad accedere all'app di Ho, nel senso che mi dice di inserire le credenziali Confermo.
Hadx [cancellato] Forse il data breach è partito da una società esterna. L'app non funziona da qualche minuto.
handymenny mirko991 Ah. È normale vedere questo se provo ad aprirla? (ho premuto accedi dal loro "forum")
mirko991 handymenny Se provi ad aprire cosa? Intendo è normale che il pulsante "Accedi" sia scomparso visto che l'app risulta in manutenzione. Non è la prima volta, diverse volte quando dovevo ricaricare vedevo l'app in manutenzione e il sito che non mi faceva effettuare l'accesso.
