Phisher contro utenti di Libero.it?

Uno dei servizi offerti dal noto portale italiano era afflitto da un problema che avrebbe potuto andare a vantaggio dei phisher per catturare dati personali. Molti i portali con questo stesso problema

Roma - Negli scorsi giorni è giunta in redazione la segnalazione di un problema di sicurezza nel noto portale italianoLibero.itsfruttabile dai phisher per sottrarre dati personali agli utenti.

La debolezza, scoperta da Davide Denicolo, è di tipo Cross Site Scripting (XSS) e interessa ilLibero Speed Test , un servizio che consente agli utenti di misurare in tempo reale la velocità di download e upload della propria connessione. Denicolo spiega inquesto advisoryche un aggressore potrebbe utilizzare questa particolarità per inoculare nella pagina del test uno script attraverso la tecnica dell'HTML Injection .

I phisher potrebbero avvantaggiarsi del problema per modificare la pagina del Libero Speed Test e indurre l'utente ad inserire i propri dati, come nome utente e password, in form estranei al noto sito italiano.
Denicolo afferma di aver tentato di segnalare la falla al webmaster di Libero, ma l'e-mail è tornata indietro. È comunque assai probabile che a breve Libero sistemi il problema. Un problema che, però, non riguarda soltanto certo Libero.it.

Le vulnerabilità XSS sono infatti fra le più frequenti del Web: alcuni esperti sostengono che la maggior parte dei siti più complessi ne contenga almeno una. Una tesi ribattuta sul blogexploit.blogosfere.it , che proprio ieri ha segnalato la presenza di problemi simili a quello di Libero anche nei siti di Tiscali, Supereva e Infinito. Una ricerca più estesa porterebbe probabilmente questa lista a crescere notevolmente.
TAG: sicurezza
15 Commenti alla Notizia Phisher contro utenti di Libero.it?
Ordina