Vulnerabilità di MyFastPage

Un utente Fastweb che visita un sito malevolo appositamente preparato permette ad un attaccante esterno di accedere ai pannelli di controllo del suo abbonamento.

Emilio Pinna, studente di informatica del Politecnico di Torino, si è accorto che non dover mettere user/password sulla MyFastPage non è proprio una figata.

Come spiega sul suo post il token autenticativo della MyFastPage non è in un cookie ma nella URL per accedere al pannello, sotto forma di parametro generato dinamicamente ad ogni richiesta di accesso ai pannelli. Una volta sottratto l’indirizzo del pannello chiunque può accedervi anche fuori dalla rete Fastweb e senza autenticazione, basta che conosca l’URL.

Una volta guadagnato l’accesso è possibile cambiare le password di abbonamenti, della Fastmail, del ContoOnLine, consultare e variare dati e recapiti personali , tabulati voce e internet, modificare le configurazioni del router casilingo, acquistare servizi aggiuntivi a carico degli utenti. Un semplice link malevolo pubblicato in una pagina molto trafficata permetterebbe di accedere dati sensibili e email di numerosi utenti Fastweb.

Il 7 maggio 2011 è stato segnalato il problema all’IT security di Fastweb e il 3 giugno è stato reso pubblico il bug in quanto nulla è stato fatto fino ad ora per risolverlo.

Più info nei dettagli tecnici dell’attacco.
È anche disponibile un POC per la dimostrazione della vulnerabilità (non funziona su Chrome per l’antiXSS)