News dal mondo informatico – Hacking Blog – Hackmeeting – Hacking Tutorial

Allarmismo immotivato! E’ l’unica parola che mi viene in mente in questo momento!
Oggi è uscio su LaStampa e Repubblica un articolo che allarmava gli utenti inquanto Youtube era stato “hackerato“/”bucato“.
Dagli screen che propongono si vede chiaramente che si tratta di un XSS:

Tutti sappiamo che grazie ad un XSS è possibile prendere i cookie di un utente, ma sappiamo altrettanto bene che youtube gestisci i cookie in maniera ottimale: niente password in chiaro e solo sessionID!
La cosa piu’ preoccupante e di cui nessuno ha parlato è invece il problema della diffusione dei malware tramite XSS. Se fosse stato meglio strutturato sarebbe stato possibile mandare messaggi privati ai propri contatti youtube ed innescare così un worm

Il bug (prontamente corretto) si basava sull’inserimento di codice all’interno dei commenti. Evidentemente i controlli di youtube non erano sufficienti.
Preso di mira soprattutto il canale del cantante Justin Bieber. Gli autori dell’XSS si sono voluti divertire scrivendo che il cantante era deceduto.
Fonti ancora da verificare ci dicono che gli autori dell’attacco sono stati 4chan o ebaumsworld.

People who looked at this item also looked at…

• End Summer Camp 2010 – 3-5 Settembre, Venezia
• Account iTunes violati! Attenzione alla carta di credito
• Un anno di backdoor su Unrealircd
• Hackerare come nei film
• Sql Injection sull’ennesima app di facebook

Related items

• Account iTunes violati! Attenzione alla carta di credito
• Problemi di privacy per Fastweb Italia
• DLL Hijacking cos’è e come funziona
• Un anno di backdoor su Unrealircd
• L’offuscamento targhe di google maps fallisce

Notizia venuta subito a galla grazie a Twitter ed ai social network (vedi che a qualcosa servono allora .
Molti utenti si sono trovati una bolletta dell’Apple store per applicazioni, o meglio ebook, che non hanno mai richiesto! Tutti gli ebook richiesti erano stati prodotti da una società con sede in Vietnam, quindi i probabili responsabili del furto di dati (e di soldi) sono loro.
Si sta ancora cercando di capire se la falla è all’interno dell’app store, oppure qualche applicazione conteneva un malware in grado di “rubare” le credenziali d’accesso.

Piu di 100milioni di account. Questo è il numero totale di utenti registrati all’apple store!

Cosa posso fare?

Se anche voi, come me, avete un account su iTunes dovete:

1. Cambiare la password del vostro account
2. Disabilitare la funzione di addebito su carta di credito

E come consiglio personale vi suggerirei di eliminare quelle applicazioni inutili che non servono a niente o magari di controllare se il produttore di un’applicazione è fidato. Per la serie “La sicurezza non è mai troppa”

People who looked at this item also looked at…

• XSS su youtube già pecciato. Allarmismo immotivato in Italia
• Primo bug serio su facebook: Vedere la chat degli amici
• Un anno di backdoor su Unrealircd
• Bypassare il pin è possibile!
• Dominator I, il GSM Interceptor per i governi

Related items

• XSS su youtube già pecciato. Allarmismo immotivato in Italia
• Steve Jobs non adotterà più ZFS
• Problemi di privacy per Fastweb Italia
• DLL Hijacking cos’è e come funziona
• Un anno di backdoor su Unrealircd