skip to main | skip to sidebar
17 commenti

Attacco a Youtube, niente panico ma cautela [UPD 2010/07/05]

No, Youtube non è stato violato, ma qualche rischio per gli utenti c'è


L'articolo è stato aggiornato dopo la pubblicazione iniziale.

Mi sono arrivate molte segnalazioni di notizie secondo le quali Youtube sarebbe stato "hackerato" o "bucato" (Repubblica, La Stampa). In realtà Youtube non è stato violato e il problema è già stato risolto.

L'attacco era semplicemente un Javascript malformato che, se pubblicato nei commenti, superava i controlli di Youtube (predisposti proprio per evitare questo genere di problemi) e può far visualizzare video osceni o scritte e finestre di dialogo di vario genere. Alcuni esempi sono qui su Repubblica.

Non sembra, al momento, che siano "a rischio i dati degli utenti" come scrive invece Repubblica. L'unico rischio era quello di trovarsi esposti a immagini orripilanti o pornografiche o a messaggi-bufala. Non dovrebbero essere a rischio le password degli utenti.

Secondo The Next Web, sono stati presi di mira specificamente i video del cantante pop Justin Bieber, in alcuni casi facendo comparire una finestra di dialogo che annunciava falsamente che il cantante era improvvisamente morto, e il Javascript malformato utilizzava il tag MARQUEE, in disuso ma ancora interpretato dai browser, oppure due tag SCRIPT consecutivi. La fonte dell'attacco sembra essere stata il gruppo 4chan o ebaumsworld. Comunque, come accennavo, il problema è stato già risolto.

Per evitare il ripetersi di incidenti di questo genere, che dimostrano una scarsa attenzione alla sicurezza da parte di Google/Youtube, è opportuno disattivare la pubblicazione automatica dei commenti ai vostri video di Youtube.


Aggiornamento (2010/07/05)


La BBC riassume l'incidente: Google ha sistemato il problema circa due ore dopo la scoperta, nascondendo per default tutti i commenti nel giro di un'ora e poi attivando una correzione completa. Secondo Google, citata da Network World, l'attacco poteva rubare i cookie di Youtube degli utenti che visitavano una pagina attaccata, ma non permetteva di accedere agli account Google delle vittime. Google consiglia agli utenti, a titolo precauzionale, di uscire dal proprio account e rientrarvi. Le eventuali pagine esterne a Youtube linkate dall'attacco possono contenere malware.

Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (17)
Aspetto con ansia!!!
A quanto pare il contenuto dei commenti non veniva controllato a dovere, permettendo l'inserimento di javascript nel corpo delle pagine.
Sembra che il tag <script> seguito da IF_HTML_FUNCTION? fosse alla base dell'attacco; un classico cross site scripting, anche se mi sfugge la natura della stringa da far seguire al tag. Che si tratti di qualche elemento proprietario parsato dai server di youtube?
Oltre a lasciare scritte di varia natura, sono stati effettuati anche redirect su shock site, embedding di immagini "particolari", ecc.
Segnalo per curiosità che oggi anche il sito della band dei Coldplay è stato vittima di un hackeraggio, a quanto pare da parte di un gruppo di attivisti spagnoli che protestavano contro il governo Zapatero.
E' interessante notare, tra l'altro - forse qualcuno se lo ricorda -, che anche Repubblica, poco meno di un annetto fa, ha avuto a che fare con un problema simile a quello odierno di YT.
Paolo, vorrei segnalarti invece il presunto hack di diversi account di itunes sempre segnalato da thenextweb
http://thenextweb.com/apple/2010/07/04/app-store-hacked/
Gestisco un canale Youtube che ha millanta video, incrocio le dita che non accada nulla. Non potrei mai impostare la moderazione dei commenti ai video uno per uno. :-(
Ho vissuto la vicenda "quasi" in diretta, cercherò di riassumerla...
Oggi nel primo pomeriggio scartabellavo la board /g/ di 4chan (ovvero quella tecnologica) quando spunta un thread con un link a YT con un commento come "lol 4chan has pwned youtube". Apro (forse un po' ingenuamente) e mi ritrovo Firefox a combattere con più di 20000 pop up (si, ho scritto bene). Decido di andare a fondo nella faccenda ma non faccio in tempo a fare una ricerca che si viene a sapere che è stata trovata una vulnerabilità quasi elementare, ovvero il poter permettere script nei titoli dei video, nelle descrizioni e nei commenti. Evito di aprire YT ulteriormente ma continuo a leggere di reindirizzamenti su siti pornografici, script PHP malevoli e siti da cui stare ben lontani come Last Measure (non so se siano tutti stati effettivamente realizzati). All'improvviso i moderatori, solitamente pigri, dell'imageboard chiudono all'unisono tutti i thread sulla faccenda YT, e nelle news (CNN, Fox etc) neanche l'ombra della notizia (neanche adesso credo); solo il qua presente Paolo, PC World e Repubblica ne hanno parlato. E' un insabbiamento o i media americani si accingono a terminare il 4th of July per poi gridare al Cyber 11 settembre?
L'attacco è stato "rivendicato" da /b/ di 4chan. E' impressionante quanto gli Anon possano fare quando ci si mettono. Mi vengono i brividi a pensare a cosa si potrebbe fare se quel potere venisse diretto verso il Bene e non verso il Caos...e in effetti è anche già stato fatto.
ciao

come si disattiva la pubblicazione automatica di articoli?

Io ci sto provando ma non riesco a capire come si faccia?

Qualcuno mi aiuta per favore?
@ Accademia, assolutamente OT
Chiedo scusa a te ed a tutti per la sfacciataggine ma... secondo te, "privatezza" puo' essere considerata una parola italiana? So che in alcuni dizionari c'e', ma mi pare che l'uso l'abbia bocciata senza appello (ed il suono mi fa accapponare la pelle).
  ▲
▲ ▲

Newfags can't triforce
@Vihai Varlog:
in b4 Paolo saying: "questa non è /b/"
Per Pietro

Chiedo scusa a te ed a tutti per la sfacciataggine ma... secondo te, "privatezza" puo' essere considerata una parola italiana? So che in alcuni dizionari c'e', ma mi pare che l'uso l'abbia bocciata senza appello (ed il suono mi fa accapponare la pelle).

Ti sei risposto da solo: l'uso l'ha bocciata, ma è giusto che almeno quella rimanga nei dizionari, in fondo è un incoraggiamento a usare la lingua italiana.

Vediamo se in futuro si imporrà vuvuzela o vuvuzzella (al plurale vuvuzzelle) (cit.).
@ Accademia
Grazie del parere! =)


@ Paolo Attivissimo
Effettivamente avrei potuto chiedere anche a te se, traducendo "Privacy", useresti "privatezza". So che in quanto DJ traduci spesso e volentieri, ma mi attengo alla politica del "Non parlare al conducente" per un'OT di tale sfacciataggine. Grazie per lo spazio dotato di commentatori competenti e disposti ad essere infastiditi! ;)
@Paolo Attivissimo:
Segnalazione refuso: "Youube".
Refuso sistemato, grazie.
@Accademia dei pedanti:
Vediamo se in futuro si imporrà vuvuzela o vuvuzzella (al plurale vuvuzzelle) (cit.).

Forse a Napoli diranno "'a vuvuzzella", ma non certo nel resto del mondo italofono.