Washington – Non c’è pace per MySpace , il portale di social networking di Rupert Murdoch: dopo essere stato additato come sito frequentato da orchi e malintenzionati alla caccia di teenager, viene ora a galla un fenomeno , che forse preoccuperà meno i genitori ma certo non giova alla reputazione di quello che vorrebbe essere un luogo di incontro virtuale ideale, e invece è la nuova terra di conquista per spammer e professionisti della reclame ossessivo-compulsiva .
La porta per la nuova invasione di messaggi-spazzatura passa per piccoli Javascript pestiferi, grazie ai quali un numero non precisato di persone è riuscita ad accedere indebitamente agli account presenti su MySpace, prenderne il controllo e riempirli di pubblicità.
Ne spiega il funzionamento un esperto di sicurezza: basandosi sui soli dati contenuti nei cookie presenti sul PC, lo script è in grado di catturare le informazioni del profilo, l’immagine, il nome, e tutti gli ID di MySpace a cui il sistema tracciato ha fornito accesso. Inoltre il codice java offre l’accesso alla URL home.myspace.com/index.cfm?fuseaction=user , corrispondente al pannello di controllo utente del sito, con cui un malintenzionato può avere pieni privilegi per l’intera durata di una sessione, vale a dire 6 ore. L’unica cosa che, a quanto pare, non è possibile fare è modificare l’indirizzo email e la password del profilo.
A peggiorare la già grave vulnerabilità è la stessa infrastruttura di rete di MySpace che, al contrario di altri provider quali Google, ospita i cookie di autenticazione e le pagine degli utenti sullo stesso dominio: questo approccio fornisce possibilità aggiuntive per gli utenti di inserire contenuti attivi sui profili, ma rende praticamente impossibile combattere l’azione dei javascript ficcanaso.
Questi, nel mentre, hanno già cominciato a fare danni: pare che le pagine riempite di spam siamo arrivate a quota un milione e mezzo , com’è possibile verificare con la ricerca di una stringa di testo “identificativa” tramite Google; in un altro caso sono 145mila, corrispondenti ad un altro marchio testuale .
Il fenomeno è insomma arrivato a livelli epidemici , e non stupisce il fatto che qualcuno abbia trovato il modo di guadagnarci su: la società StalkerTrack.com è in procinto di rilasciare un tracker basato sui javascript suddetti, grazie al quale sarà possibile scoprire e tracciare tutti gli spacer che visiteranno un profilo. Per meglio pubblicizzare il “prodotto”, StalkerTrack ha anche messo online un demo del tracker . All’appello non manca nemmeno eBay, sul cui popolare circuito d’aste vengono già messi in vendita i javascript traccianti.
MySpace, dice The Register , non ha per ora dato risposta ufficiale al proliferare dei tracker ruba identità, e StalkerTrack si è limitato a vendere il proprio nome con il viral marketing sul portale. Stando a quanto dichiara una delle persone coinvolte nelle attività della società (che dice di avere solo 17 anni), il tracker verrà offerto entro i prossimi mesi, e già può vantare, tra le sue dotazioni, decine di migliaia di dati di login per altrettanti profili.
Ed è proprio grazie a questi profili che dovrebbe partire la scalata di StalkerTrack, con un bot che, accedendo ai profili, invia messaggi-spazzatura a tutti gli utenti amici. Qualcuno ipotizza che, oltre ad inviare spam, il sistema potrebbe essere tranquillamente utilizzato per recapitare codice malevolo di varia genìa, con la potenziale esplosione di un’epidemia senza precedenti, considerando i 100 milioni di utenti che utilizzano il servizio.
Ma non sono solo lo spam e le vulnerabilità critiche ad animare la discussione intorno al social network per eccellenza: Sentinel Safe , la tecnologia già citata per bandire da MySpace i criminali sessuali conclamati dai database federali degli States, potrebbe ora avere un’arma in più: è stata proposta al Congresso una normativa grazie alla quale i rei di crimini siffatti dovranno rilasciare alle autorità i propri identificativi di rete (nickname e email incluse).
MySpace ad ogni modo continua a non piacere ai genitori: secondo una curiosa ricerca segnalata da InformationWeek , su un campione di 1.200 adulti intervistati di recente, il 31,9% giudica un amico conosciuto in rete come la peggiore compagnia possibile per la propria figlia. Il cosiddetto network sociale, insomma, sarebbe socialmente pericoloso , secondo gli intervistati, ancor più delle persone conosciute nei bar (22,3%) o dei Trekker (16,1%), gli aficionado della saga fantascientifica Star Trek.
Alfonso Maruccia