TRATTO DA "la Repubblica"
TECNOLOGIA & SCIENZA
Due cronisti e un hacker aggirano il sistema di sicurezza
Milioni di utenti a rischio truffa. Possibile accedere a dati e password
Nel grande buco nero di eBay
"Così abbiamo violato il sito"
di MARCO MENSURATI e FABIO TONACCI
Nel grande buco nero di eBay
"Così abbiamo violato il sito"
La sede centrale di eBay in California
ROMA - C'è un buco nel sistema di sicurezza di eBay. Un buco che si apre e che si chiude di continuo, come la porta automatica di un grande magazzino. E che permette a qualunque hacker minimamente capace di entrare in possesso delle informazioni personali riservate dei clienti. E di derubarli. Noi questo buco lo abbiamo individuato, lo abbiamo aperto e poi ci siamo entrati dentro (il video si può vedere sul sito di RepubblicaTv).
Dimostrando, così, quanto sia semplice rubare i dati personali e bancari degli utenti eBay che partecipavano a una determinata asta. Un'asta come tante, usata però come esca. Con l'aiuto di un hacker abbiamo sfruttato quella che tecnicamente si chiama vulnerabilità "cross-site scripting". L'operazione non è così complessa come sembra.
EBay, il più grande sito di compravendita online, dà la possibilità agli utenti che ritiene affidabili di abbellire graficamente le proprie pagine con particolari linguaggi di programmazione. Consegna loro delle chiavi per interagire con la grafica ufficiale, personalizzando l'architettura del sito. Con quelle chiavi - ottenute piuttosto facilmente - gli hacker costruiscono delle aste trappola (non c'è modo di distinguerle da quelle originali) e le dispongono ovunque, in quel suk virtuale che è eBay.
Una volta finito in una di queste aste trappola, l'utente è spacciato: non ha più alcun segreto per l'hacker che, in una pagina parallela, riesce a vedere in chiaro tutti i dati privati dell'account di eBay, password e indirizzo di posta elettronica compresi. Persino il codice di avviamento bancario e parte del codice numerico della carta di credito.
