Cerca nel blog

2010/07/04

Attacco a Youtube, niente panico ma cautela [UPD 2010/07/05]

No, Youtube non è stato violato, ma qualche rischio per gli utenti c'è


L'articolo è stato aggiornato dopo la pubblicazione iniziale.

Mi sono arrivate molte segnalazioni di notizie secondo le quali Youtube sarebbe stato "hackerato" o "bucato" (Repubblica, La Stampa). In realtà Youtube non è stato violato e il problema è già stato risolto.

L'attacco era semplicemente un Javascript malformato che, se pubblicato nei commenti, superava i controlli di Youtube (predisposti proprio per evitare questo genere di problemi) e può far visualizzare video osceni o scritte e finestre di dialogo di vario genere. Alcuni esempi sono qui su Repubblica.

Non sembra, al momento, che siano "a rischio i dati degli utenti" come scrive invece Repubblica. L'unico rischio era quello di trovarsi esposti a immagini orripilanti o pornografiche o a messaggi-bufala. Non dovrebbero essere a rischio le password degli utenti.

Secondo The Next Web, sono stati presi di mira specificamente i video del cantante pop Justin Bieber, in alcuni casi facendo comparire una finestra di dialogo che annunciava falsamente che il cantante era improvvisamente morto, e il Javascript malformato utilizzava il tag MARQUEE, in disuso ma ancora interpretato dai browser, oppure due tag SCRIPT consecutivi. La fonte dell'attacco sembra essere stata il gruppo 4chan o ebaumsworld. Comunque, come accennavo, il problema è stato già risolto.

Per evitare il ripetersi di incidenti di questo genere, che dimostrano una scarsa attenzione alla sicurezza da parte di Google/Youtube, è opportuno disattivare la pubblicazione automatica dei commenti ai vostri video di Youtube.


Aggiornamento (2010/07/05)


La BBC riassume l'incidente: Google ha sistemato il problema circa due ore dopo la scoperta, nascondendo per default tutti i commenti nel giro di un'ora e poi attivando una correzione completa. Secondo Google, citata da Network World, l'attacco poteva rubare i cookie di Youtube degli utenti che visitavano una pagina attaccata, ma non permetteva di accedere agli account Google delle vittime. Google consiglia agli utenti, a titolo precauzionale, di uscire dal proprio account e rientrarvi. Le eventuali pagine esterne a Youtube linkate dall'attacco possono contenere malware.

Nessun commento: