www.MegaLab.it

[awrt]

buongiorno a tutti.
desidero segnalarvi quanto mi è accaduto e spero di trovarmi sul topic giusto.
in pratica col mio cellulare sono entrato mediante wifi su una connessione, non mia ma di un utente sprovveduto, non protetta e poi navigato verso l'indirizzo della mia banca.
a questo punto il mio browser omnia mini mi ha caricato la pagina della banca con la user e password (asterischi) già completati, di un altro utente della banca, forse di quello che stavo sfruttando la sua connessione wifi.
vorrei capire come questo sia possibile. dove sta il bug se di questo si può parlare. tengo a precisare che normalmente non salvo mai la user e la password nel mio browser.
grazie per la risposta che potrà servire ad una nostra maggiore sicurezza. saluti

[markinson]

Ciao Awrt.
Uno dei problemi lo riconosci tu stesso: aver "approfittato" della dabbenaggine o impreparazione di un altro "utente".

in pratica col mio cellulare sono entrato mediante wifi su una connessione, non mia ma di un utente sprovveduto ... di un altro utente della banca, forse di quello che stavo sfruttando la sua connessione wifi

Sebbene il problema (sotto un profilo strettamente legale), per quanto a me risulti, sia di chi ha "lasciato aperto le porte senza protezione", ritengo che non sia nemmeno molto "carino", da un punto di vista etico (mettiamola un po' così), trarre vantaggio dalle incapacità/debolezze altrui. Ti pare?

Sicuro, comunque, che non hai approfittato fino in fondo ... giusto? ... a questo punto, ti direi di segnalare la cosa alla banca, visto che anche tu ne sei cliente. Nella vita non si sa mai ...

[M@ttia]

Anch'io però, al di là dell'etica e tutto ma solo per mera curiosità tecnica, non capisco cosa possa accadere: se io sfrutto la wireless di una persona, mi connetto al suo router wireless che mi fornisce la connessione internet "nuda e cruda", mentre le password, ecc. vengono salvate dal browser (o OS al limite), al quale lui non aveva accesso: com'è possibile che il solo router invii direttamente le password per riempire i textfield di una pagina web? [esistono router che permettono i salvare i dati delle pagine web direttamente nel router per poterseli vedere completati da qualsiasi PC/browser ci si connette? Sarebbe anche comodo, ma terribilmente rischioso (come si è appena dimostrato, ma anche ci fosse stata una password di connessione, esistono tecniche di sniffing che permettono quantomeno di connettersi al router fingendo le credenziali, e se già il router mi spara indietro le password... ].

[mattpillon]

poi, mi sembra improbabile che l'utente di cui hai sfruttato la connessione abbia un conto online sulla stessa banca che usi tu, e addirittura le password memorizzate....
per quanto ne so io, come dice mattia, i dati di accesso vengono salvati dal broswer e non certo da un router, e non possono essere trasmessi dal sito della banca, altrimenti a cosa servono se te li inviano loro?
una cosa volevo dirti soprattutto: tu chiami sprovveduto quello che ha lasciato la rete libera, ma anche tu non sei stato molto attento, andare sul sito del proprio conto corrente tramite una connessione wifi sconosciuta mi sembra potenzialmente rischioso, esistono tecniche per intercettare tutti i dati trasmessi se si è all'interno della stessa rete. credo che qualcuno più esperto di me nella materia potrà confermartelo.

[markinson]

... per quanto ne so io, come dice mattia, i dati di accesso vengono salvati dal broswer e non certo da un router, e non possono essere trasmessi dal sito della banca, altrimenti a cosa servono se te li inviano loro? ...

Così, da profano della materia e prendendo per buono quanto raccontato (non avrei motivo di dubitarne), secondo me "qualcosa" che non va nella modalità di gestione delle transazioni "lato banca" ci può essere ...
E' un paradosso, ma se "lato banca" ci fosse qualcosa tipo un "proxy" (non lo so, eh! ... faccio per dire!), con una sua cache ... ok? Quando, nel giro di pochissimi secondi (magari), si vede ri-chiamare dallo stesso IP ... la cache (del proxy della banca) non si è svuotata ... e ... tutto torna come prima ... non lo so ...
Comunque, vi posso assicurare che, con un noto provider, parecchi anni or sono, mi capitò una cosa simile (sottolineo: simile, ma non uguale).

Per il resto, assolutamente d'accordo!
E, chiudo, farei presente la faccenda alla banca perché, in un modo o nell'altro, qualche bug di sicurezza c'è ...