ANSA.it chiude alcune gravi falle

Un esperto di sicurezza italiano ha portato alla luce alcune debolezze nel sito dell'ANSA che permettevano l'accesso non autorizzato al sistema di pubblicazione. Le falle sono già state corrette

Roma - "Improvvisarsi collaboratore ANSA e far circolare liberamente notizie di fantasia in giro per Internet". Secondo l'esperto di sicurezza Rosario Valotta ciò è quanto era possibile fare, solo pochi giorni fa, sfruttando alcune debolezze nel sistema di pubblicazione web-based di ansa.it, sito della nota agenzia di stampa italiana.

Nel suo blog Valotta spiega che i collaboratori ANSA possono inserire le proprie news nel sistema di pubblicazione dell'agenzia avvalendosi di due web application. Prima che i webmaster del sito sistemassero le lacune di sicurezza, l'interfaccia utente di tali applicazioni era accessibile a chiunque: per entrare nel sistema di inserimento delle notizie era necessario autenticarsi, ma ciò non ha impedito a Valotta di scoprire che, digitando un certo URL, si accedeva ad un file log contenente informazioni quali l'indice delle notizie e il relativo autore. Non senza grande stupore, l'hacker ha scoperto che certi collaboratori utilizzano lo username anche come password: ciò consentiva anche ad utenti non autorizzati di loggarsi nel sistema, visionare le news inviate via Internet da tutti i giornalisti e persino inserirne di nuove.

Il sito dell'ANSA"La maggior parte degli account riportati nella pagina viewlog.asp hanno username uguali alle password ed entrambi sono costituiti da 2-3 caratteri", scrive Valotta nel proprio blog. "Nella mente dei progettisti l'autenticazione è stata pensata con l'intento di vincolare ciascun collaboratore alla consultazione delle sole news da lui inviate. Peccato che una cosa è l'autenticazione, altra è l'autorizzazione. La seconda (che ho detto) è... inesistente".
Con qualche accorgimento e un po' di fortuna, Valotta sostiene che un malintenzionato avrebbe potuto agevolmente superare il controllo di eventuali supervisori e riuscire a pubblicare una notizia falsa: falsa ma accreditata dalla maggiore agenzia stampa italiana.

Ma non è finita qui. Valotta ha anche scoperto una vulnerabilità di tipo reflective XSS che, a suo dire, consentiva di "prendere completo possesso del database tramite attacco al listener ed alterare account e dati presenti".

"Questo modello di gestione, unito alla totale assenza di un adeguato controllo degli accessi, è gravissimo", ha commentato l'esperto, che in una email inviata a Punto Informatico ha anche aggiunto: "Quello che ho fatto non richiede quasi nessuna perizia tecnica, ma solo un po' di curiosità".

Valotta fa sapere che, dietro sua segnalazione, i responsabili di ansa.it hanno già provveduto a chiudere le debolezze riscontraate.
5 Commenti alla Notizia ANSA.it chiude alcune gravi falle
Ordina