ANSA.it chiude alcune gravi falle

Un esperto di sicurezza italiano ha portato alla luce alcune debolezze nel sito dell'ANSA che permettevano l'accesso non autorizzato al sistema di pubblicazione. Le falle sono già state corrette

Roma – “Improvvisarsi collaboratore ANSA e far circolare liberamente notizie di fantasia in giro per Internet”. Secondo l’esperto di sicurezza Rosario Valotta ciò è quanto era possibile fare, solo pochi giorni fa, sfruttando alcune debolezze nel sistema di pubblicazione web-based di ansa.it , sito della nota agenzia di stampa italiana.

Nel suo blog Valotta spiega che i collaboratori ANSA possono inserire le proprie news nel sistema di pubblicazione dell’agenzia avvalendosi di due web application. Prima che i webmaster del sito sistemassero le lacune di sicurezza, l’interfaccia utente di tali applicazioni era accessibile a chiunque : per entrare nel sistema di inserimento delle notizie era necessario autenticarsi, ma ciò non ha impedito a Valotta di scoprire che, digitando un certo URL, si accedeva ad un file log contenente informazioni quali l’indice delle notizie e il relativo autore. Non senza grande stupore, l’hacker ha scoperto che certi collaboratori utilizzano lo username anche come password : ciò consentiva anche ad utenti non autorizzati di loggarsi nel sistema, visionare le news inviate via Internet da tutti i giornalisti e persino inserirne di nuove .

Il sito dell'ANSA “La maggior parte degli account riportati nella pagina viewlog.asp hanno username uguali alle password ed entrambi sono costituiti da 2-3 caratteri”, scrive Valotta nel proprio blog. “Nella mente dei progettisti l’autenticazione è stata pensata con l’intento di vincolare ciascun collaboratore alla consultazione delle sole news da lui inviate. Peccato che una cosa è l’autenticazione, altra è l’autorizzazione. La seconda (che ho detto) è… inesistente”.

Con qualche accorgimento e un po’ di fortuna, Valotta sostiene che un malintenzionato avrebbe potuto agevolmente superare il controllo di eventuali supervisori e riuscire a pubblicare una notizia falsa : falsa ma accreditata dalla maggiore agenzia stampa italiana.

Ma non è finita qui. Valotta ha anche scoperto una vulnerabilità di tipo reflective XSS che, a suo dire, consentiva di “prendere completo possesso del database tramite attacco al listener ed alterare account e dati presenti”.

“Questo modello di gestione, unito alla totale assenza di un adeguato controllo degli accessi, è gravissimo”, ha commentato l’esperto, che in una email inviata a Punto Informatico ha anche aggiunto: “Quello che ho fatto non richiede quasi nessuna perizia tecnica, ma solo un po’ di curiosità”.

Valotta fa sapere che, dietro sua segnalazione, i responsabili di ansa.it hanno già provveduto a chiudere le debolezze riscontraate.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • EXCELSIOR scrive:
    LIFE IS NOW
    ah ah ah ah ah
  • Hamvil scrive:
    Solo in italia
    Negli USA la mobilita` e` una cosa normale. Qui in italia non si perde occasione per fare manifestazione e scioperi. Che pensino invece a lavorare i dipendenti della vodafone.
    • Troll detected scrive:
      Re: Solo in italia
      Troll detected
      • Hamvil scrive:
        Re: Solo in italia
        Sarebbe come dire che se si e` contro i lavoratori si e` sempre e comunque in torto giusto?
        • demi scrive:
          Re: Solo in italia
          se si scrive un post senza sapere niente, tanto per scrivere ed essere contro i lavoratori per partito preso come te, allora si... sei un troll!
    • nec scrive:
      Re: Solo in italia
      - Scritto da: Hamvil
      Negli USA la mobilita` e` una cosa normale. Qui
      in italia non si perde occasione per fare
      manifestazione e scioperi. Che pensino invece a
      lavorare i dipendenti della
      vodafone.negli USA è anche normale pagare le tasse, ma allo stesso tempo dovere avere un'assicurazione sanitaria privata, che può anche non essere rinnovata da parte dell'istituto assicurativo in caso non gli convenga.gli USA, a me, fanno proprio ca*are sciolto.
      • makanaki scrive:
        Re: Solo in italia


        negli USA è anche normale pagare le tasse, ma
        allo stesso tempo dovere avere un'assicurazione
        sanitaria privata, che può anche non essere
        rinnovata da parte dell'istituto assicurativo in
        caso non gli
        convenga.

        gli USA, a me, fanno proprio ca*are sciolto.Non e' possibile paragonare il nostro modello lavorativo con quello degli USA in quanto sono totalmente diversi. In USA si puo' perdere il lavoro ma allo stesso tempo trovarne uno nuovo il giorno stesso, senza tanti problemi. In italia questo non avviene.Trovo comunque che sia troppo facile per aziende cosi' grosse spostare, delocalizzare, o quant'altro migliaia di lavoratori senza che nessuno intervenga... (e non venitemi a dire che i sindacati intervengono perche' sanno solo proclamare scioperi e chiedere aumenti di salario).
        • Suricato scrive:
          Re: Solo in italia
          - Scritto da: makanaki
          (e non venitemi a dire che
          i sindacati intervengono perche' sanno solo
          proclamare scioperi e chiedere aumenti di
          salario).Manco quelli (parlo per quel che concerne la mia realtà)... dove lavoro io il sindacato è venduto...chissà perché dove lavoro io tutti o la maggior parte dei "capi" una volta era sindacalista sfegatato...infatti molti si vogliono togliere dalla lista degli iscritti perché è un pagamento per una istituzione che non ci fa altro che peggiorare le condizioni di lavoro, indice qualche sciopero ogni tanto giusto per tenerci buoni e farci contenti, ma durante tutte le trattative si sono dimostrati piacenti nel piegarsi a 90 _sempre_ su ogni cosa...
Chiudi i commenti