Trump, attaccato il suo sito per ricevere donazioni, ma sembra un atto di vandalismo dilettantesco

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete farne una anche voi per incoraggiarmi a scrivere ancora.

Poche ore fa il sito secure2.donaldjtrump.com, che raccoglie le donazioni per Donald Trump, è stato violato inserendo una pagina di rivendicazione, mostrata qui sotto. Il messaggio che contiene dice “Hacked By Pro_Mast3r ~ / Attacker Gov / Nothing Is Impossible / Peace From Iraq”.

Su Twitter, @pwnallthethings ha segnalato la violazione e ha notato che il sito è in realtà ospitato su Pantheonsite.io ed è gestito tramite WordPress:

Quick update: https://t.co/b1oRrvG2Om is served by CloudFlare for load-balancing, but the "real" site behind it is https://t.co/9HIbG3OlTZ.

— Pwn All The Things (@pwnallthethings) February 19, 2017

This site is a WordPress created today, hosted at pantheonsite.io (Sun, 19 Feb 2017 07:57:35 GMT to be precise) - https://t.co/JCYXOSV6B1

— Pwn All The Things (@pwnallthethings) February 19, 2017

Il codice sorgente della pagina è questo:

Non contiene codice ostile ma contiene un link a un Javascript, che però non esiste all’URL linkato. È strano che un aggressore violi un sito così in vista come quello di Trump senza controllare se il codice che sta caricando funziona o no: un comportamento molto dilettantesco. Di questo script ci sono copie in Archive.org, anche se la più recente che ho trovato risale al 31 luglio 2014:

Lo script sembra un generatore di fiocchi di neve ed è "firmato" da btinternet.com/~kurt.grigg/ (oggi inesistente). Un lettore, @AronFiechter, l’ha provato e gli risulta essere proprio un generatore di un'animazione che crea l’illusione di una nevicata sullo schermo. Inoltre un altro lettore, @simoneborgio, ha notato che il nome del file, salju, significa neve in indonesiano. Questo è il codice:

Il sito che ospita l’immagine presente nella pagina di defacement è invece ospitato su quello che @simoneborgio ritiene sia un hosting comune in lingua araba:

@disinformatico questo è sito dove è stata caricata l'immagine. Sembra normale servizio arabo per pubblicare immagini pic.twitter.com/9zxLnrCpjM

— Simone Borgio (@simoneborgio) February 19, 2017

Il fatto che la “rivendicazione” sia generica e che il Javascript linkato non funzioni sembra indicare un attacco non mirato e non professionale; è possibile che si tratti di un attacco automatizzato a tutti i siti che usano WordPress e non hanno ancora installato le ultime correzioni di sicurezza. Ma questo fa pensare che per violare il sito di Trump basta un dilettante.


Fonti aggiuntive: Ars Technica.