Agli epigoni di James Bond proprio non riesce di tenersi fuori dai guai, per lo meno quando si tratta di tecnologie telematiche e infrastrutture web. Dopo il recente “scandalo” del futuro capo del Secret Intelligence Service (anche noto come MI6) fotografato in bermuda e sbattuto su Facebook, questa volta tocca al Security Service (MI5) scivolare sul bagnato di una vulnerabilità nascosta nel sito web dell’agenzia .
La vulnerabilità era di tipo cross-site-scripting , e gli stessi responsabili dell’MI5 hanno confermato che avrebbe potuto fungere da vettore per iniettare codice malevolo nel sito in modo da redirezionare i visitatori verso pagine esterne. La falla è stata chiusa con celerità perché “l’MI5 prende la sicurezza molto sul serio”, conferma l’organizzazione, ribadendo che “il sito web è sicuro ed è ospitato in un ambiente ad alto livello di sicurezza”.
Eppure, nonostante questo “alto livello di sicurezza”, un hacker noto come -TE-Neo era riuscito a individuare la vulnerabilità e a pubblicare una proof-of-concept sul forum Team Elite, sostenendo di essere in grado di fare breccia nel sito dell’MI5 attraverso il motore di ricerca ivi utilizzato. Tale search engine altro non è che la versione custom che Google consente di “embeddare” su un sito a piacimento dei webmaster.
Gli admin di Team Elite hanno contattato l’agenzia in merito alla falla e quest’ultima vi ha opportunamente messo una pezza prima che qualche malintenzionato potesse fare danni. Il personale dell’MI5 ha inoltre confermato che, vulnerabilità a parte, il sito web preso di mira si trova su server separato dal back-end infrastrutturale dell’organizzazione e che non è in alcun modo connesso a informazioni sensibili o di pertinenza dell’intelligence.
Alfonso Maruccia
Ti potrebbe interessare
3 ago 2009