C’è una falla in Gmail e lui perde il dominio

Una falla in Gmail ha rischiato di rovinare le vacanze a un graphic designer scozzese. Mentre controllava la sua inbox da un cybercafé in India, David Airey ha notato che il suo sito era stato dirottato da un cracker che cercava di ricattarlo via email. Per 650$ il criminale avrebbe restituito il dominio al legittimo proprietario, che lo usa per il suo lavoro di libero professionista.

David si è sentito violato ma ha cercato subito di trovare una soluzione senza accettare l’estorsione da parte del criminale (apparentemente) iraniano.

Dapprima ha scritto al domain registrar dal quale ha acquistato il domino, ma l’azienda ha subito risposto che non poteva farci nulla perché il processo di trasferimento del dominio era stato eseguito impeccabilmente, con le dovute verifiche da parte del proprietario dell’email associata al dominio.

David ha allora provato a contattare GoDaddy, l’azienda che ha accettato il trasferimento fraudolento da parte del cracker. Quest’ultima ha risposto che sarebbe intervenuta solamente all’atto di una richiesta da parte delle autorità. Scoraggiato ma decaiso a riappropriarsi del proprio nome di dominio, il designer ha pensato di sfruttare il potere della blogosfera internazionale, raccontando in un post tutti i dettagli della propria disavventura.

Se la storia ha un lieto fine è soprattutto perché la notizia ha fatto il giro del web ed è apparsa persino sul New York Times. Entrambi i domain registrar, infatti, hanno immediatamente cambiato tono, desiderosi forse di evitare cattiva pubblicità da questa vicenda e, a quanto pare, alcuni lettori del blog hanno anche fatto la loro parte tramite amicizie interne a GoDaddy. Nel giro di poche ore, nonostante le feste natalizie, David ha riabbracciato (si fa per dire) il suo dominio.

Cerchiamo di capire cosa è andato storto e come è possibile evitare che un episodio simile capiti anche ai nostri lettori. Gmail era affetto da una falla che permetteva a siti maligni di effettuare un attacco di tipo Cross Site Request Forgery per applicare una backdoor nell’account del visitatore che era ancora “loggato” in Gmail.

Nel caso di David, il cracker ha quindi inserito dei filtri che effettuavano automaticamente l’inoltro di email riguardanti il trasferimento del sito ad un proprio indirizzo, cancellando le email dalla casella Gmail. In questo modo l’utente era del tutto ignaro del processo, mentre il ricattatore aveva modo di confermare le email di verifica per autorizzare il trasferimento.

Google ha ora risolto questa vulnerabilità, ma è importante notare che eventuali filtri aggiunti in passato non vengono automaticamente eliminati. Si consiglia quindi di controllare subito nella sezione Settings in Gmail, le schede Filters e Forwarding and POP/IMAP per verificare che non vi siano aggiunte sospette o illecite. Anche se questa particolare vulnerabilità è stata risolta, controllare regolarmente queste sezioni rimane una buona idea per evitare possibili sorprese. Chi non fa uso di POP o IMAP, può disabilitare del tutto questi servizi. Si ricorda inoltre l’importanza di utilizzare una password sicura e la pratica di cambiarla regolarmente. Gli utenti più cauti potranno effettuare il sign out subito dopo avere letto la propria email o decidere di non utilizzare affatto l’interfaccia web offerta da Google. La vicenda pone senza dubbio delle domande importanti circa l’affidabilità di servizi gratuiti quando da questi dipende il proprio business, sostentamento e in un’ultima analisi la propria identità online.

About Antonio Cangiano

Antonio lavora come Software Engineer & Technical Evangelist presso la IBM in Canada. È inoltre il direttore di Stacktrace.it, un internet marketing strategist, imprenditore del web, serial blogger, e autore di un paio di libri in inglese (recentemente Technical Blogging.) Puoi dare un'occhiata ai suoi progetti sulla sua homepage e seguendolo su Twitter.

Comments

  1. Il problema è che i servizi a pagamento non sono affatto meglio, anzi, spesso sono ancor più lacunosi, basta vedere i bachi di alice, di fastweb e di virgilio.

  2. @LordMax: mi hai tolto le parole dalla tastiera…

  3. Concordo pienamente LordMax e Marcob. Gratuiti o a pagamento in molti casi non fa molta differenza. Il problema vero e proprio è il fatto di affidarsi a terze parti per la gestione di gran parte delle proprie informazioni sensibili. Servizi come Alice o Virgilio non sono all’altezza e non comportano alcun vantaggio in termini di sicurezza, ma pagando si aprono sicuramente più possibilità nella gestione dei propri dati, tra cui soluzioni un po’ più “paranoiche” dal punto di vista della sicurezza.

  4. Non sono daccordo come gia espresso da altri utenti sull’affidabilità maggiore di servizi a pagamento in quanto gmail non è un servizio svolto da chissa chi ma da persone in gamba, purtroppo le falle ci saranno sempre in tutti i settori, apparte questo grazie per un altro interessante articolo!

  5. Mi discosto dal contenuto del post solo per farvi un mare di complimenti, leggo con piacere il vostro aperiodico e devo dire che è veramente ben fatto.

    Continuate così!

  6. “La vicenda pone senza dubbio delle domande importanti circa l’affidabilità di servizi gratuiti…”

    finito di sparare minchiate? ahahah

    hai rovinato il tuo articoletto sul finale asd

  7. @Fabio: premesso che devi moderare i termini, perché abbiamo tolleranza zero verso insulti, maleducazione e troll, entro nel merito della questione per rispondere a coloro che condividono il tuo stesso pensiero ma lo esprimerebbero in maniera più civile e argomentata.

    Come già esposto precedentemente in un altro commento più sopra, la mia frase non intende dichiarare alcuna superiorità tecnica derivante dall’uso di un servizio commerciale, rispetto a quello di uno gratuito. Spesso è il contrario.

    Ma questo non è il punto. La mia osservazione non concerne gli aspetti tecnici, ma quelli relativi alle pratiche di business. Le aziende amano affidarsi ai servizi commerciali di altre aziende, piuttosto che a servizi gratuiti, per un discorso di responsabilità.. Quando utilizzi un servizio commerciale esistono degli obblighi contrattuali e, per quanto le aziende cerchino di limitare la propria responsabilità, hai qualcuno che ha tutti gli interessi di questo mondo ad agevolare una pronta risoluzione del problema. Agli occhi di un’azienda, usare un servizio gratuito non offre molte garanzie.

    Nel caso specifico la vulnerabilità esisteva da tempo ma Google non ha sistemato la cosa in maniera tempestiva. Nel caso di un servizio commerciale, se non sistemano il problema prontamente, puoi portare i tuoi dollari altrove e scegliere alternative più sicure.

    DNSMadeEasy e TuffMail sono solo due validi esempi di servizi a pagamento, gestiti da persone competenti.

    Pagando è poi possibile avere un proprio server dedicato e renderlo “sicuro” quanto si vuole a seconda del proprio livello di paranoia. Certo questo è un altro paio di maniche, ma un’azienda ha molte opzioni disponibili nel momento in cui decide di pagare per proteggere il proprio investimento (d’immagine, brand, dominio o quel che sia).

    Detto questo, io uso tranquillamente Gmail, ma se avessi un’azienda, credo che opterei per RackSpace o DNSMadeEasy, piuttosto che Gmail.

  8. Io ho avuto un problema simile con Consultingweb e nel mio caso godaddy mi ha aiutato immediatamente. Senza nessuna denuncia.
    ecco il link del mio resoconto: http://www.francescomortara.it/pdf/webmasterpoint_discussione_forum.pdf

Policy per i commenti: Apprezzo moltissimo i vostri commenti, critiche incluse. Per evitare spam e troll, e far rimanere il discorso civile, i commenti sono moderati e prontamente approvati poco dopo il loro invio.