Leonardo Anceschi YASB

TITOLO
Il servizio di consultazione delle foto scattate dagli autovelox del Comune di Calcinaia (PI) permette la consultazione di tutte le foto disponibili in archivio senza possedere le credenziali di accesso.

ADVISORY ID
200801

DATA DI RILASCIO
2008-03-30

VERIFY ADVISORY
http://leonardoanceschi.wordpress.com/2008/03/29/security-advisory-comune-di-calcinaia-pi/

CRITICITA’
Alta

LOCATION:
Da remoto

IMPATTO:
Dati personali liberamente accessibili da remoto

SITI COINVOLTI
http://www.comune.calcinaia.pi.it

HALF DISCLOSURE
Il servizio di visualizzazione delle foto scattate dagli autovelox non è adeguatamente sicuro e permette a qualunque utente con un po’ di familiarità con html e xml di visualizzare tutte le foto scattate dagli autovelox.

Il database delle foto è accessibile in chiaro e senza autenticazione direttamente dall’esterno.

La vulnerabilità, individuata da Leonardo Anceschi, esperto di sicurezza informatica, è stata segnalata al Comune di Calcinaia il 30/03/2008, unitamente ai dettagli completi sulla riproducibilità e sulle implementazioni necessarie per risolvere la vulnerabilità.

FULL DISCLOSURE
Fornita a Comune di Calcinaia

PROOF OF CONCEPT
Fornito a Comune di Calcinaia

SOLUZIONI
Fornite a Comune di Calcinaia

TIMEFRAME
2008-03-29: Individuazione della Vulnerabilità
2008-03-30: Segnalazione della vulnerabilità ed invio del FULL DISCLOSURE a Comune di Calcinaia
2008-03-30: Pubblicazione dell’HALF DISCLOSURE sul blog http://leonardoanceschi.wordpress.com
2008-03-31: Rimosso il servizio di consultazione delle foto dal sito del Comune
2008-04-01: Ripristinato (con vulnerabilità) il servizio di consultazione delle foto dal sito del Comune