Nel 2009 ho scoperto l’esistenza di un piccolo bug navigando su Repubblica.it. Immaginate che un qualsiasi estraneo alla redazione possa far visualizzare articoli e contenuti sul sito de La Repubblica, ora immaginate quali usi potrebbe farne, soprattutto a livello politico, e quali ne sarebbero le conseguenze. Una bufala diffusa utilizzando come strumento il sito Repubblica.it, quanti non la prenderebbero per vera?
Si tratta di un semplice bug di tipo XSS, ma che la cui presenza, su un sito così di rilievo, permetteva ad utenti malentinzionati di effettuare attacchi di phishing (truffe online) o di pubblicare notizie false che, se provenienti da un sito del genere, non ci avrebbero messo molto a fare il giro della rete come vere.
Chiunque sfruttando questo bug poteva ad esempio far comparire un annuncio del tipo “ATTENZIONE: dal prossimo mese Repubblica.it diventa a pagamento, clicca qui per abbonarti” truffando così i visitatori di Repubblica.it. O poteva addirittura far comparire notizie false spacciandole per vere. Sarebbe bastato poi linkare la pagina di Repubblica modificata su Facebook o ad esempio su OkNotizie, e poi attendere che questa facesse il giro del mondo grazie all’effetto amplicatore della rete.
Dopo diverse prove sono riuscito, sfruttando il bug scoperto, a far visualizzare una notizia falsa su Repubblica.it:
Chi avrebbe dubitato di una notizia se l’url di provenienza fosse proprio http://ricerca.repubblica.it? L’utente medio ci sarebbe cascato in pieno!
Ne hanno parlato:
- Dario Salvelli
- Mauro Rubin su Plumfake
- Massimo Mantellini su ManteBlog
- Marco Montemagno su FriendFeed
- Geekissimo
- Andrea Sacchini
- Pino Bruno
- SetteB
- Vittorio Pasteris
- I diari dello scooter
- Corriere del Mezzogiorno [Info]
- Pazzo per Repubblica
- Pensieri ad alta voce
- A Tutto Blog
- Hacker Journal n.185
- MondoInformatico
- Anti-Phishing Italia