Clusit cronaca hacking Incidente Informatica Sicurezza social network Web

Youtube sotto attacco nel weekend: un XSS in cambio di un banner?

By ArMyZ
Un 4 luglio che non è passato inosservato.
Almeno in casa Google e, a quanto pare, anche a Cupertino.
Tra sabato e domenica Youtube ha subito un attacco che ha avuto come target i video del cantante pop Justin Bieber (e successivamente di Lady Gaga).
L’attacco dimostrativo, che sfrutta una vulnerabilità nel sistema di parsing dei commenti, mostrava un popup dove si leggeva la notizia della morte del cantante.
Youtube hacked (clicca per ingrandire)
4chan
rivendicazioni? (clicca per ingrandire)
Google, dopo un blocco cautelativo dei commenti, ha rilasciato una fix sui suoi sistemi che risolveva la vulnerabilità (XSS) sfruttata dagli hacker.
Post Google fix (clicca per ingrandire)
Sembra infatti che il parsing del contenuto dei commenti fosse effettuato in modo da gestire solo una prima occorrenza del tag script mentre, quanto in esso contenuto, era accettato senza alcun tipo di controllo ulteriore (sufficiente pertanto a consentire commenti con javascript al suo interno, ad esempio).
C’è chi ipotizza un gesto dimostrativo come reazione alla recente scelta di youtube di inserire pubblicità (Skippable ADS) nei filmati a partire da dicembre prossimo (fonte Baljeet Singh, YouTube Senior product manager in una conferenza stampa di giovedì scorso).
Coincidenza? Pretesto? Esibizionismo?
(screenshot via thenextweb)

_____
Clusit

Related posts:

    Attacco Aurora ancora in corso e indagini ad una svolta. Ecco come funziona il malware L’attacco in larga scala che ha colpito grandi aziende come Google...
    Attacco al Pentagono: trafugati dati del progetto Joint Strike Fighter, il nuovo caccia F-35 Il Wall Street Journal riporta l’ennesimo attacco informatico negli states....
    Il furto d’identità digitale: Byoblu e Google – un caso reale – Gli addetti ai lavori non perdono occasione per sensibilizzare gli...
    Twitter hacked and defaced Twitter è nuovamente online e disponibile. A distanza di pochi...
    [warning] Apple App Store (e account iTunes) hacked Come se non bastasse l’attacco a YouTube, lo scorso weekend...

2 thoughts on “Youtube sotto attacco nel weekend: un XSS in cambio di un banner?

  1. Pingback: [warning] Apple App Store (e account iTunes) hacked | Il taccuino di Armando Leotta
  2. Pingback: Lifestream 2 October 2010 | Il taccuino di Armando Leotta

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.