martedì 1 marzo 2011

Facebook assume hacker esperto XSS

Sapete cos'è il Cross Site Scripting? L'XSS, come recita il dizionario, è una vulnerabilità tipica dei siti web, forum e social network che non impiegano filtri abbastanza sofisticati sui campi di testo delle form riempite con i dati degli utenti. Se ben sfruttato, un hacker può inserire codice all'interno del campo e fare danni a chiunque visiti quella pagina. Immaginate cosa può voler dire un XSS malevolo su un social network come Facebook che conta oltre 600 milioni di login da tutto il mondo. Beh, nel lontano 2005 proprio uno di questi hacker esperti in XSS, allora solo 19enne, era riuscito a modificare i profili degli utenti con un worm autoreplicante il cui effetto era quello di rendere le pagine del tutto simili a quelle del social allora concorrente MySpace. La curiosità degli utenti di vedere un profilo totalmente "diverso" ha fatto la frittata: centinaia di migliaia di account infettati ed un worm che si era diffuso in un battibaleno su Facebook. L'hacker però ha avuto la sfortuna/fortuna di essere scoperto nell'arco di poche ore (qualunque cosa è registrata su FB, ricordatevelo) cosicchè si è trovato nella casella email un messaggio da parte di Mark Zuckerberg che recitava più o meno: "E' tutto molto divertente ma, purtroppo stai cancellando i dati degli utenti... e ciò non è bello". Così inizia una specie di trattativa tra l'hacker in questione, tale Chris, e lo stesso Zuckerberg che porta il giovane ad ottenere un colloquio presso Facebook e la successiva assunzione. Ciò non vuole spronare ad hackerare le pagine di FB o a trovare modi per rubare le password di login, dato che per questioni del genere si va dritti dritti in galera (a meno che Zio Zuck in quel momento si senta particolarmente magnanimo e vi offra un colloquio) ma, al contrario, può essere sia di stimolo per trovare vulnerabilità e segnalarle ai gestori dei siti in questione che, ovviamente, prestare particolarmente attenzione ai profili e link che si clickano su siti e social network: meglio andarci con i piedi di piombo e non abboccare, ok?

Se ti è piaciuto l'articolo, faccelo sapere con un 'Mi Piace'