YouTube è stato violato. Uno script sui commenti, a rischio i dati degli utenti

Pubblicato il 4 Luglio 2010 20:21 | Ultimo aggiornamento: 4 Luglio 2010 20:21

YouTube è stato violato, a rischio tutti gli utenti. Un hacker ha pubblicato su un forum un codice che permette di far comparire testi, video pornografici e rubare dati degli utenti. Google scatta sugli attenti e cerca di intervenire per risolvere il problema, e deve fare in fretta. Il flash, ovviamente falso, “Justin Bieber è morto stamattina in un incidente d’auto” apparso sul sito è la prova che può bastare un semplice codice inserito nei commenti per far comparire testi, foto, animazioni, messaggi sulle pagine del sito o attivare animazioni, far comparire testi, caricare foto, video pornografici e – forse – rubare dati personali relativi agli account.

La società di Mountain View non ha rilasciato dichiarazioni, sta comunque arginando il problema, ma ancora non si sa se Google stia cercando di risolvere il problema alla radice, quindi bloccando lo script, o se sta solo ripulendo i video oltraggiati, quindi potrebbero esserci ancora rischi durante la navigazione. La notizia di Justin Bieber ad esempio appariva aprendo un video di Lady Gaga – uno dei più visti in assoluto con 238 milioni di visualizzazioni – ma era sufficiente navigare un po’ per trovarne altri con messaggi simili o con attacchi molto più invadenti.

La rete è in fibrillazione: si stanno moltiplicando nei forum le discussioni sui possibili rischi e su come evitare danni. Anche sul forum ufficiale di Google è stata aperta una discussione. “E’ un casino completo”, scrive un utente; “E’ la fine di YouTube” scrive un altro, forse esagerando un po’. In ogni caso il problema esiste e non è da poco: sfruttando questo bug, si possono far scomparire pezzi di pagina, sostituirli con testi che scorrono, aggiungere link ad altre pagine e chissà cos’altro.

Hackerato YouTube
a rischio i dati degli utenti

Pubblicato su un forum un codice che permette di far comparire testi, video pornografici e rubare dati degli utenti. Sembra che Google stia intervenendo per risolvere il problema, ma attenzione a navigare sul sito di ALESSIO SGHERZA

ROMA – “Notizia flash: Justin Bieber è morto stamattina in un incidente d’auto”. E’ il messaggio allarmante, e falso, che si apre su alcune pagine di YouTube. Ma per Google, proprietaria del sito, la notizia è anche peggiore: vuol dire che può bastare un semplice codice inserito nei commenti per far comparire testi, foto,  animazioni, messaggi sulle pagine del sito o attivare animazioni, far comparire testi, caricare foto, video pornografici e – forse – rubare dati personali relativi agli account.

GUARDA: Le pagine colpite 1

Navigando sul sito sembra che Google, pur non rilasciando dichiarazioni ufficiali, sia già intervenuto per risolvere – o quantomeno arginare – il problema. Sui video inizialmente attaccati il codice è stato neutralizzato, ma in assenza di una conferma da Google, potrebbero esserci ancora rischi durante la navigazione.

La notizia di Justin Bieber ad esempio appariva aprendo un video di Lady Gaga – uno dei più visti in assoluto con 238 milioni di visualizzazioni – ma era sufficiente navigare un po’ per trovarne altri con messaggi simili o con attacchi molto più invadenti.

Non che fosse difficile: abbiamo provato anche noi, aggiungendo un semplice messaggio di allarme testuale su un video. Nessun problema, funzionava davvero, e a costo zero. Un hacker, ma anche un programmatore con conoscenze base, avrebbero potuto creare seri danni ai computer degli utenti.

Pensare alle possibili ripercussioni di una vulnerabilità del genere è facile e il danno potrebbe essere potenzialmente distruttivo. La rete è in fibrillazione: si stanno moltiplicando nei forum le discussioni sui possibili rischi e su come evitare danni.

Anche sul forum ufficiale di Google è stata aperta una discussione. “E’ un casino completo”, scrive un utente; “E’ la fine di YouTube” scrive un altro, forse esagerando un po’. In ogni caso il problema esiste e non è da poco: sfruttando questo bug, si possono far scomparire pezzi di pagina, sostituirli con testi che scorrono, aggiungere link ad altre pagine e chissà cos’altro.

E a rischio ci sono anche i dati personali degli utenti: “Non andate sul sito – si legge in un forum – l’exploit può essere usato per rubare i vostri dati”. Tanto che su un forum online sono state pubblicate delle presunte password associate a utenti di YouTube. E sulle stesse pagine qualcuno testimonia che – a un certo punto – aprendo una pagina si finiva su un sito che mostrava scene di violenza sessuale.

Vulnerabili tutte le pagine dei video degli utenti che non moderano i commenti: al momento infatti l’unica cosa da fare, se avete un account YouTube e avete caricato dei video che non volete dare in pasto a malintenzionati del web, è mettere i commenti in premoderazione. E sperare che Google chiuda la questione in tempi brevi.