YouTube “bucato”
Da Milano – Si dice sempre di chi viene bene in video che buca lo schermo, logico, per la legge del contrappasso, che proprio un sito di video abbia subito la sorte di essere stato “bucato”. E’ accaduto il 4 Luglio, la festa dell’indipendenza in America, al popolare YouTube. Si è trattato di una attacco XSS più familiarmente noto come Cross Site Scripting. Poche righe di codice inserite nei commenti dei filmati del cantante Justin Bieber che dirottavano gli utenti ad un sito hard a pagamento. La tecnica XSS sfrutta in realtà una vulnerabilità dei siti dinamici e consente di carpire informazioni sostanzialmente in due modi: attraverso il browser dell’utente che si connette alla pagina web modificata (a sua insaputa) e accendendo ai suoi cookie, ovvero i micro frammenti di software che vengono installati nel Pc dell’utente quando visita un sito e che consentono, al sito stesso, di riconoscerlo in automatico ai collegament successivi. Oppure indirizzando l’utente su una pagina web fraudolenta con lo scopo di fargli inserire, e quindi rubare, dei dati sensibili.
Probabile che la vulnerabilità di Youtube sia stata scoperta mandando in esecuzione un semplice javascript. Gli amministratori di sistema hanno comunque informato che il problema è stato risolto e, per il momento aggiungiamo noi, YouTube è tornato ad essere sicuro.