L’attacco si chiama Cross-site request forgery (CSRF) e, in maniera diametralmente opposta al più noto cross-site scripting (XSS), sfrutta il rapporto di fiducia tra sito web e utenza per dirottare verso tale sito operazioni come furti di identità, account, email, denaro .
Ed Felten e Bill Zeller, ricercatori della Princeton University e blogger di Freedom to Tinker , hanno individuato quattro vulnerabilità di tipo CSRF in altrettanti noti portali web, rivelando la notizia del problema soltanto dopo che i maggiori player hanno avuto il tempo di metterci una pezza. I rischi corsi, parrebbe, non sono da sottovalutare.
Tra i siti coinvolti, quello che più fa clamore è sicuramente il portale di ING Direct , la “banca online più grande del mondo” attiva anche in Italia e nota per il prodotto finanziario di investimento “Conto Arancio”. La falla, hanno scoperto Felten & Zeller, avrebbe potuto permettere a un malintenzionato di prelevare fondi da un account compromesso , o creare ulteriori account per conto di uno stesso utente.
Un attacco CSRF, spiega Zeller, si basa sul fatto che il server di un qualsivoglia servizio web in genere non verifica che una richiesta di operazioni provenga da uno specifico utente, bensì dal browser utilizzato da quell’utente. Sfruttando tale meccanismo è possibile dirottare tale browser, da un sito terzo, al fine di inviare una richiesta al sito vulnerabile camuffando la provenienza originaria e agendo a totale insaputa della vittima.
Gli altri siti coinvolti includono YouTube e MetaFiller , su cui un cyber-criminale, a conoscenza della falla, avrebbe potuto fare praticamente di tutto come cambiare l’indirizzo e-mail di un account, inviare messaggi spacciandosi per l’utente, sottoscrivere canali e usare la funzionalità “Password persa” per recuperare la parola chiave dell’account.
Tutti e tre i siti citati hanno provveduto a rattoppare la vulnerabilità, mentre l’ultimo coinvolto, il portale online del prestigioso New York Times , non sembra abbia considerato con la dovuta attenzione la severità del problema e lo ha trascurato per un anno intero . In questo caso è possibile per un malintenzionato recuperare l’email di un utente attraverso la funzionalità di invio degli articoli attraverso la posta elettronica.
Il PDF della ricerca spiega nel dettaglio la vulnerabilità e i possibili attacchi in grado di sfruttarla, provvedendo inoltre a fornire raccomandazioni per mitigare il problema e soluzioni fattuali per la sua prevenzione , sia lato-server che client, sotto forma di plug-in per PHP ed estensioni per Firefox.
Alfonso Maruccia