Password MyTiscali salvate in chiaro

2020-07-13T10:52:43+00:00

spero che chi amministra tiscali legga e provveda: ho fatto il recupero pw della linea fissa e me la ha inviata in chiaro, per le linea mobile invece mi ha m...

[cancellato]

edofullo PS: negli screenshot su Active Directory c'è ancora Windows 98 😂

Windows 98 non ha AD, è una tecnologia adottata solo dalla serie professionale/NT.

Semplicemente, ha la grafica "old style" senza tanti effetti... e la grafica ai sistemisti non piace.

edofullo

[cancellato] My bad, ho guardato meglio ed era Windows Server 2003, che si avvicina ai 20 anni 😇

Comunque vabbè, inezie e non era quello il punto

/OT

[cancellato]

edofullo Sapessi quanti ne girano esposti in internet ancora adesso... :S

Technetium

edofullo
Il primo punto non è "Compra una costosa licenza da Microsoft" ?

Riegel

Technetium Laughs in chiavi su ebay a 1,50€

[cancellato]

matteocontrini se hai i dati e le password nello stesso database

beh questo supppongo che non possiamo saperlo

[cancellato]

Riegel Illegali, perché seriali generati in un contesto di "Volume License" non rivendibili singolarmente.
Ma /OT

[cancellato]

vabbè poi ariverà @andreagdipaolo che ci darà una email di un ufficio tiscali a cui fare mail bombing e lo faremo anche al garante per non sapere nè leggere nè scrivere, anche chi non ha tiscali

andreagdipaolo

Da quanto ho capito, il fatto che ti inviino la password via mail non indica necessariamente che sia salvata in chiaro nei database.
Dei colleghi mi hanno riferito che i database di Tiscali sono regolarmente crittografati, comunque. Non so però a che livello e in che modo.

[cancellato]

andreagdipaolo lasciamo che sia il garante a scoprirlo

matteocontrini

andreagdipaolo il problema è appunto che è possibile risalire alle password in chiaro (anche se non sono salvate in chiaro).

Se cifrano le password e le inseriscono cifrate nel db, non ha assolutamente nessun senso.

Se usano crittografia at rest per i dati del database, bene, scelta saggia, ma allora forse non hanno capito qual è il problema di avere le password originali estraibili dal databse.

L'unica soluzione accettabile nel 2020 è salted hash o derivation function, qualsiasi altra cosa è sbagliata...

[cancellato]

andreagdipaolo a quale indirizzo tiscali facciamo mail bombing?

[cancellato]

andreagdipaolo Da quanto ho capito, il fatto che ti inviino la password via mail non indica necessariamente che sia salvata in chiaro nei database. Dei colleghi mi hanno riferito che i database di Tiscali sono regolarmente crittografati, comunque.

Il problema è che neanche un amministratore di sistema deve essere in grado di risalire alla password di un utente. Altrimenti è in grado di (far) impersonare l'utente.

Inoltre un hash + salt richiede di "rompere" ogni password singolarmente. Se hai un database crittografato con una singola chiave una volta che la chiave è nota hai accesso a tutti i dati.

Queste sono le raccomandazione OWASP (Open Source Foundation for Application Security):

Password storage: https://cheatsheetseries.owasp.org/cheatsheets/Password_Storage_Cheat_Sheet.html
Passoword sreste: https://cheatsheetseries.owasp.org/cheatsheets/Forgot_Password_Cheat_Sheet.html

edofullo

[cancellato] A nessuno, tanto è inutile.

L'unica cosa che si potrebbe fare è provare a scrivere a qualche giornale/rivista specializzata mettendo l'idea di "siamo sicuri di voler dare tutti i nostri dati a una società che salva password in chiaro?"

Ma non sono e non saranno gli ultimi che fanno ste porcate

andreagdipaolo

[cancellato] Credo sia abbastanza inutile.
Credo che non ci siano particolari implicazioni sulla sicurezza dei clienti, piuttosto per iscriversi al MyTiscali e vedere tutto basta avere in mano la prima pagina di una fattura e si può entrare nell'area clienti 🙃

Non c'è stato nessun data breach, ma è giusto che segnaliate per precauzione.
Se ci tenete aprite una segnalazione al garante per la privacy.

[cancellato]

andreagdipaolo dovevo entrare, ero già iscritto da mesi.

allora scriviamo tutti al garante, tutti, anche chi non ha Tiscali.

matteocontrini

[cancellato] non funziona così, le segnalazioni sono una cosa seria, non si può bombardare il Garante

https://www.garanteprivacy.it/modulistica-e-servizi-online/reclamo

[cancellato]

matteocontrini ma che bombardare? Se tutti i clienti hanno questo dubbio lo possono fare, mica uno per tutti, come le segnalazioni ad agcom, tutti la possono fare,
mica ci si organizza e la manda uno

Supreme69

Uno che ci tiene lo faccia, con serietà, magari proprio @[cancellato]

[cancellato]

Supreme69 credi sia un problema? Sai quante segnalazioni ho fatto ad agcom e agcm? Sono il re delle segnalazioni, sicuramente sulle multe c’è anche la mia firma

matteocontrini

[cancellato] ma il Garante mica valuta la gravità delle segnalazioni in base a quante ne riceve identiche 😅 una basta e avanza, mandarne 10 duplicate fa solo perdere tempo al Garante che già è messo male

« Pagina precedente Pagina successiva »

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile