MySpace e Javascript, spammer in paradiso

Il portalone è colpito da milioni di messaggi pubblicitari. In rete proliferano gli script con cui tracciare i profili degli spacer. Forse presto legge l'obbligo di registrare le email per i rei di crimini sessuali

Washington – Non c’è pace per MySpace , il portale di social networking di Rupert Murdoch: dopo essere stato additato come sito frequentato da orchi e malintenzionati alla caccia di teenager, viene ora a galla un fenomeno , che forse preoccuperà meno i genitori ma certo non giova alla reputazione di quello che vorrebbe essere un luogo di incontro virtuale ideale, e invece è la nuova terra di conquista per spammer e professionisti della reclame ossessivo-compulsiva .

La porta per la nuova invasione di messaggi-spazzatura passa per piccoli Javascript pestiferi, grazie ai quali un numero non precisato di persone è riuscita ad accedere indebitamente agli account presenti su MySpace, prenderne il controllo e riempirli di pubblicità.

Ne spiega il funzionamento un esperto di sicurezza: basandosi sui soli dati contenuti nei cookie presenti sul PC, lo script è in grado di catturare le informazioni del profilo, l’immagine, il nome, e tutti gli ID di MySpace a cui il sistema tracciato ha fornito accesso. Inoltre il codice java offre l’accesso alla URL home.myspace.com/index.cfm?fuseaction=user , corrispondente al pannello di controllo utente del sito, con cui un malintenzionato può avere pieni privilegi per l’intera durata di una sessione, vale a dire 6 ore. L’unica cosa che, a quanto pare, non è possibile fare è modificare l’indirizzo email e la password del profilo.

A peggiorare la già grave vulnerabilità è la stessa infrastruttura di rete di MySpace che, al contrario di altri provider quali Google, ospita i cookie di autenticazione e le pagine degli utenti sullo stesso dominio: questo approccio fornisce possibilità aggiuntive per gli utenti di inserire contenuti attivi sui profili, ma rende praticamente impossibile combattere l’azione dei javascript ficcanaso.

Questi, nel mentre, hanno già cominciato a fare danni: pare che le pagine riempite di spam siamo arrivate a quota un milione e mezzo , com’è possibile verificare con la ricerca di una stringa di testo “identificativa” tramite Google; in un altro caso sono 145mila, corrispondenti ad un altro marchio testuale .

Il fenomeno è insomma arrivato a livelli epidemici , e non stupisce il fatto che qualcuno abbia trovato il modo di guadagnarci su: la società StalkerTrack.com è in procinto di rilasciare un tracker basato sui javascript suddetti, grazie al quale sarà possibile scoprire e tracciare tutti gli spacer che visiteranno un profilo. Per meglio pubblicizzare il “prodotto”, StalkerTrack ha anche messo online un demo del tracker . All’appello non manca nemmeno eBay, sul cui popolare circuito d’aste vengono già messi in vendita i javascript traccianti.

MySpace, dice The Register , non ha per ora dato risposta ufficiale al proliferare dei tracker ruba identità, e StalkerTrack si è limitato a vendere il proprio nome con il viral marketing sul portale. Stando a quanto dichiara una delle persone coinvolte nelle attività della società (che dice di avere solo 17 anni), il tracker verrà offerto entro i prossimi mesi, e già può vantare, tra le sue dotazioni, decine di migliaia di dati di login per altrettanti profili.

Ed è proprio grazie a questi profili che dovrebbe partire la scalata di StalkerTrack, con un bot che, accedendo ai profili, invia messaggi-spazzatura a tutti gli utenti amici. Qualcuno ipotizza che, oltre ad inviare spam, il sistema potrebbe essere tranquillamente utilizzato per recapitare codice malevolo di varia genìa, con la potenziale esplosione di un’epidemia senza precedenti, considerando i 100 milioni di utenti che utilizzano il servizio.

Ma non sono solo lo spam e le vulnerabilità critiche ad animare la discussione intorno al social network per eccellenza: Sentinel Safe , la tecnologia già citata per bandire da MySpace i criminali sessuali conclamati dai database federali degli States, potrebbe ora avere un’arma in più: è stata proposta al Congresso una normativa grazie alla quale i rei di crimini siffatti dovranno rilasciare alle autorità i propri identificativi di rete (nickname e email incluse).

MySpace ad ogni modo continua a non piacere ai genitori: secondo una curiosa ricerca segnalata da InformationWeek , su un campione di 1.200 adulti intervistati di recente, il 31,9% giudica un amico conosciuto in rete come la peggiore compagnia possibile per la propria figlia. Il cosiddetto network sociale, insomma, sarebbe socialmente pericoloso , secondo gli intervistati, ancor più delle persone conosciute nei bar (22,3%) o dei Trekker (16,1%), gli aficionado della saga fantascientifica Star Trek.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Anonimo scrive:
    Da quando è morto il vecchio SONY..
    La SONY è caduta nelle mani di un branco di ANIMALI fameliciy.
  • Anonimo scrive:
    multa?
    se un privato installa un rootkit su un pc altrui son previsti fino a 3 anni di galera (perlomeno in Italia), quindi perche' i dirigenti che hanno autorizzato la vendita de sta roba non dovrebbero farsi la galera?
    • Anonimo scrive:
      Re: multa?
      - Scritto da:
      se un privato installa un rootkit su un pc altrui
      son previsti fino a 3 anni di galera (perlomeno
      in Italia), quindi perche' i dirigenti che hanno
      autorizzato la vendita de sta roba non dovrebbero
      farsi la
      galera?Se ci pensi bene, in questo caso hanno gia' preso una bella batosta :1-figura di cacca, con tanto di pubblicazione sul loro sito della suddetta figura per 2 anni !2-150 di rimborso a utente + spese di spedizione del nuovo supporto con software non compromesso fanno MILIARDI di euro da restituire AGLI UTENTI FINALI.Cosi' non possono svicolarsi dal pagare eventuali multe ;)3-I dirigenti in galera non ci finiscono lo stesso, pero' in questo caso i responsabili sicuramente saranno silurati (dopo tutti i danni economici ricevuti e la perdita d'immagine...)A mio modesto parere, non si poteva sperare in una punizione migliore ;)
      • danieleMM scrive:
        Re: multa?
        dall'articolo pare che Sony continui a sostenere di non aver fatto nulla di male....solo per questo aumenterei la punizione
    • Anonimo scrive:
      Re: multa?

      se un privato installa un rootkit su un pc altrui
      son previsti fino a 3 anni di galera (perlomeno
      in Italia), quindi perche' i dirigenti che hanno
      autorizzato la vendita de sta roba non dovrebbero
      farsi la
      galera?Non essere ingenuo: una legge per i Re, una per il popolo.
      • Anonimo scrive:
        Re: multa?
        - Scritto da:


        se un privato installa un rootkit su un pc
        altrui

        son previsti fino a 3 anni di galera (perlomeno

        in Italia), quindi perche' i dirigenti che hanno

        autorizzato la vendita de sta roba non
        dovrebbero

        farsi la

        galera?

        Non essere ingenuo: una legge per i Re, una per
        il
        popolo.Ma intanto in casa mia non è più entrato NIENTE col marchio Sony, nemmeno un dischettino o un pacchetto di pile AAA. E nemmeno in casa di nessuno di coloro che ho provveduto a informare.
        • Anonimo scrive:
          Re: multa?

          Ma intanto in casa mia non è più entrato NIENTE
          col marchio Sony, nemmeno un dischettino o un
          pacchetto di pile AAA. E nemmeno in casa di
          nessuno di coloro che ho provveduto a
          informare.Sai quanto gliene importa. Ci sono milioni di consumatori in giro: uno, dieci o cento in meno non si vedono nemmeno nelle loro statistiche.
    • Anonimo scrive:
      Re: multa?
      La Sony è una multinazionale i cui profitti annui superano di gran lunga il PIL di molti paesi. Con queste premesse, capirai che sono intoccabili.Un privato cittadino è carne da macello.
  • danieleMM scrive:
    chi dice che il DRM fa male?
    comprate un cd protetto da drmaspettate qualche annettoe ricevere a casa 150 per cd acquistato e un cd perfettamente privo di qualunque limitazioneun affarone insomma!sono ovviamente ironico :D
Chiudi i commenti