Phisher contro utenti di Libero.it?

Uno dei servizi offerti dal noto portale italiano era afflitto da un problema che avrebbe potuto andare a vantaggio dei phisher per catturare dati personali. Molti i portali con questo stesso problema
Uno dei servizi offerti dal noto portale italiano era afflitto da un problema che avrebbe potuto andare a vantaggio dei phisher per catturare dati personali. Molti i portali con questo stesso problema

Negli scorsi giorni è giunta in redazione la segnalazione di un problema di sicurezza nel noto portale italiano Libero.it sfruttabile dai phisher per sottrarre dati personali agli utenti.

La debolezza, scoperta da Davide Denicolo, è di tipo Cross Site Scripting (XSS) e interessa il Libero Speed Test , un servizio che consente agli utenti di misurare in tempo reale la velocità di download e upload della propria connessione. Denicolo spiega in questo advisory che un aggressore potrebbe utilizzare questa particolarità per inoculare nella pagina del test uno script attraverso la tecnica dell’ HTML Injection .

I phisher potrebbero avvantaggiarsi del problema per modificare la pagina del Libero Speed Test e indurre l’utente ad inserire i propri dati, come nome utente e password, in form estranei al noto sito italiano.

Denicolo afferma di aver tentato di segnalare la falla al webmaster di Libero, ma l’e-mail è tornata indietro. È comunque assai probabile che a breve Libero sistemi il problema. Un problema che, però, non riguarda soltanto certo Libero.it.

Le vulnerabilità XSS sono infatti fra le più frequenti del Web: alcuni esperti sostengono che la maggior parte dei siti più complessi ne contenga almeno una. Una tesi ribattuta sul blog exploit.blogosfere.it , che proprio ieri ha segnalato la presenza di problemi simili a quello di Libero anche nei siti di Tiscali, Supereva e Infinito. Una ricerca più estesa porterebbe probabilmente questa lista a crescere notevolmente.

Link copiato negli appunti

Ti potrebbe interessare

08 05 2006
Link copiato negli appunti