Cerca nel blog

2010/07/04

Attacco a Youtube, niente panico ma cautela [UPD 2010/07/05]

No, Youtube non è stato violato, ma qualche rischio per gli utenti c'è


L'articolo è stato aggiornato dopo la pubblicazione iniziale.

Mi sono arrivate molte segnalazioni di notizie secondo le quali Youtube sarebbe stato "hackerato" o "bucato" (Repubblica, La Stampa). In realtà Youtube non è stato violato e il problema è già stato risolto.

L'attacco era semplicemente un Javascript malformato che, se pubblicato nei commenti, superava i controlli di Youtube (predisposti proprio per evitare questo genere di problemi) e può far visualizzare video osceni o scritte e finestre di dialogo di vario genere. Alcuni esempi sono qui su Repubblica.

Non sembra, al momento, che siano "a rischio i dati degli utenti" come scrive invece Repubblica. L'unico rischio era quello di trovarsi esposti a immagini orripilanti o pornografiche o a messaggi-bufala. Non dovrebbero essere a rischio le password degli utenti.

Secondo The Next Web, sono stati presi di mira specificamente i video del cantante pop Justin Bieber, in alcuni casi facendo comparire una finestra di dialogo che annunciava falsamente che il cantante era improvvisamente morto, e il Javascript malformato utilizzava il tag MARQUEE, in disuso ma ancora interpretato dai browser, oppure due tag SCRIPT consecutivi. La fonte dell'attacco sembra essere stata il gruppo 4chan o ebaumsworld. Comunque, come accennavo, il problema è stato già risolto.

Per evitare il ripetersi di incidenti di questo genere, che dimostrano una scarsa attenzione alla sicurezza da parte di Google/Youtube, è opportuno disattivare la pubblicazione automatica dei commenti ai vostri video di Youtube.


Aggiornamento (2010/07/05)


La BBC riassume l'incidente: Google ha sistemato il problema circa due ore dopo la scoperta, nascondendo per default tutti i commenti nel giro di un'ora e poi attivando una correzione completa. Secondo Google, citata da Network World, l'attacco poteva rubare i cookie di Youtube degli utenti che visitavano una pagina attaccata, ma non permetteva di accedere agli account Google delle vittime. Google consiglia agli utenti, a titolo precauzionale, di uscire dal proprio account e rientrarvi. Le eventuali pagine esterne a Youtube linkate dall'attacco possono contenere malware.

17 commenti:

L'economa domestica ha detto...

Aspetto con ansia!!!

ubik15 ha detto...

A quanto pare il contenuto dei commenti non veniva controllato a dovere, permettendo l'inserimento di javascript nel corpo delle pagine.
Sembra che il tag <script> seguito da IF_HTML_FUNCTION? fosse alla base dell'attacco; un classico cross site scripting, anche se mi sfugge la natura della stringa da far seguire al tag. Che si tratti di qualche elemento proprietario parsato dai server di youtube?
Oltre a lasciare scritte di varia natura, sono stati effettuati anche redirect su shock site, embedding di immagini "particolari", ecc.

Mauro Serra ha detto...

Segnalo per curiosità che oggi anche il sito della band dei Coldplay è stato vittima di un hackeraggio, a quanto pare da parte di un gruppo di attivisti spagnoli che protestavano contro il governo Zapatero.

Andrea Sacchini ha detto...

E' interessante notare, tra l'altro - forse qualcuno se lo ricorda -, che anche Repubblica, poco meno di un annetto fa, ha avuto a che fare con un problema simile a quello odierno di YT.

gluse ha detto...

Paolo, vorrei segnalarti invece il presunto hack di diversi account di itunes sempre segnalato da thenextweb
http://thenextweb.com/apple/2010/07/04/app-store-hacked/

Anonimo ha detto...

Gestisco un canale Youtube che ha millanta video, incrocio le dita che non accada nulla. Non potrei mai impostare la moderazione dei commenti ai video uno per uno. :-(

Wand ha detto...

Ho vissuto la vicenda "quasi" in diretta, cercherò di riassumerla...
Oggi nel primo pomeriggio scartabellavo la board /g/ di 4chan (ovvero quella tecnologica) quando spunta un thread con un link a YT con un commento come "lol 4chan has pwned youtube". Apro (forse un po' ingenuamente) e mi ritrovo Firefox a combattere con più di 20000 pop up (si, ho scritto bene). Decido di andare a fondo nella faccenda ma non faccio in tempo a fare una ricerca che si viene a sapere che è stata trovata una vulnerabilità quasi elementare, ovvero il poter permettere script nei titoli dei video, nelle descrizioni e nei commenti. Evito di aprire YT ulteriormente ma continuo a leggere di reindirizzamenti su siti pornografici, script PHP malevoli e siti da cui stare ben lontani come Last Measure (non so se siano tutti stati effettivamente realizzati). All'improvviso i moderatori, solitamente pigri, dell'imageboard chiudono all'unisono tutti i thread sulla faccenda YT, e nelle news (CNN, Fox etc) neanche l'ombra della notizia (neanche adesso credo); solo il qua presente Paolo, PC World e Repubblica ne hanno parlato. E' un insabbiamento o i media americani si accingono a terminare il 4th of July per poi gridare al Cyber 11 settembre?

Giby ha detto...

L'attacco è stato "rivendicato" da /b/ di 4chan. E' impressionante quanto gli Anon possano fare quando ci si mettono. Mi vengono i brividi a pensare a cosa si potrebbe fare se quel potere venisse diretto verso il Bene e non verso il Caos...e in effetti è anche già stato fatto.

44rivax ha detto...

ciao

come si disattiva la pubblicazione automatica di articoli?

Io ci sto provando ma non riesco a capire come si faccia?

Qualcuno mi aiuta per favore?

Pietro ha detto...

@ Accademia, assolutamente OT
Chiedo scusa a te ed a tutti per la sfacciataggine ma... secondo te, "privatezza" puo' essere considerata una parola italiana? So che in alcuni dizionari c'e', ma mi pare che l'uso l'abbia bocciata senza appello (ed il suono mi fa accapponare la pelle).

Vihai Varlog ha detto...

  ▲
▲ ▲

Newfags can't triforce

Reynor Fournine ha detto...

@Vihai Varlog:
in b4 Paolo saying: "questa non è /b/"

Anonimo ha detto...

Per Pietro

Chiedo scusa a te ed a tutti per la sfacciataggine ma... secondo te, "privatezza" puo' essere considerata una parola italiana? So che in alcuni dizionari c'e', ma mi pare che l'uso l'abbia bocciata senza appello (ed il suono mi fa accapponare la pelle).

Ti sei risposto da solo: l'uso l'ha bocciata, ma è giusto che almeno quella rimanga nei dizionari, in fondo è un incoraggiamento a usare la lingua italiana.

Vediamo se in futuro si imporrà vuvuzela o vuvuzzella (al plurale vuvuzzelle) (cit.).

Pietro ha detto...

@ Accademia
Grazie del parere! =)


@ Paolo Attivissimo
Effettivamente avrei potuto chiedere anche a te se, traducendo "Privacy", useresti "privatezza". So che in quanto DJ traduci spesso e volentieri, ma mi attengo alla politica del "Non parlare al conducente" per un'OT di tale sfacciataggine. Grazie per lo spazio dotato di commentatori competenti e disposti ad essere infastiditi! ;)

Turz ha detto...

@Paolo Attivissimo:
Segnalazione refuso: "Youube".

Paolo Attivissimo ha detto...

Refuso sistemato, grazie.

Turz ha detto...

@Accademia dei pedanti:
Vediamo se in futuro si imporrà vuvuzela o vuvuzzella (al plurale vuvuzzelle) (cit.).

Forse a Napoli diranno "'a vuvuzzella", ma non certo nel resto del mondo italofono.