Il sito-groviera dell'MI5

L'intelligence di Sua Maestà scivola su una falla XSS. Uno smanettone scopre la vulnerabilità nel sito dell'agenzia, che prontamente risolve dopo essere stata avvertita del problema
L'intelligence di Sua Maestà scivola su una falla XSS. Uno smanettone scopre la vulnerabilità nel sito dell'agenzia, che prontamente risolve dopo essere stata avvertita del problema

Agli epigoni di James Bond proprio non riesce di tenersi fuori dai guai, per lo meno quando si tratta di tecnologie telematiche e infrastrutture web. Dopo il recente “scandalo” del futuro capo del Secret Intelligence Service (anche noto come MI6) fotografato in bermuda e sbattuto su Facebook, questa volta tocca al Security Service (MI5) scivolare sul bagnato di una vulnerabilità nascosta nel sito web dell’agenzia .

La vulnerabilità era di tipo cross-site-scripting , e gli stessi responsabili dell’MI5 hanno confermato che avrebbe potuto fungere da vettore per iniettare codice malevolo nel sito in modo da redirezionare i visitatori verso pagine esterne. La falla è stata chiusa con celerità perché “l’MI5 prende la sicurezza molto sul serio”, conferma l’organizzazione, ribadendo che “il sito web è sicuro ed è ospitato in un ambiente ad alto livello di sicurezza”.

Eppure, nonostante questo “alto livello di sicurezza”, un hacker noto come -TE-Neo era riuscito a individuare la vulnerabilità e a pubblicare una proof-of-concept sul forum Team Elite, sostenendo di essere in grado di fare breccia nel sito dell’MI5 attraverso il motore di ricerca ivi utilizzato. Tale search engine altro non è che la versione custom che Google consente di “embeddare” su un sito a piacimento dei webmaster.

Gli admin di Team Elite hanno contattato l’agenzia in merito alla falla e quest’ultima vi ha opportunamente messo una pezza prima che qualche malintenzionato potesse fare danni. Il personale dell’MI5 ha inoltre confermato che, vulnerabilità a parte, il sito web preso di mira si trova su server separato dal back-end infrastrutturale dell’organizzazione e che non è in alcun modo connesso a informazioni sensibili o di pertinenza dell’intelligence.

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

02 08 2009
Link copiato negli appunti