Allarmismo immotivato! E’ l’unica parola che mi viene in mente in questo momento!
Oggi è uscio su LaStampa e Repubblica un articolo che allarmava gli utenti inquanto Youtube era stato “hackerato“/”bucato“.
Dagli screen che propongono si vede chiaramente che si tratta di un XSS:
Tutti sappiamo che grazie ad un XSS è possibile prendere i cookie di un utente, ma sappiamo altrettanto bene che youtube gestisci i cookie in maniera ottimale: niente password in chiaro e solo sessionID!
La cosa piu’ preoccupante e di cui nessuno ha parlato è invece il problema della diffusione dei malware tramite XSS. Se fosse stato meglio strutturato sarebbe stato possibile mandare messaggi privati ai propri contatti youtube ed innescare così un worm
Il bug (prontamente corretto) si basava sull’inserimento di codice all’interno dei commenti. Evidentemente i controlli di youtube non erano sufficienti.
Preso di mira soprattutto il canale del cantante Justin Bieber. Gli autori dell’XSS si sono voluti divertire scrivendo che il cantante era deceduto.
Fonti ancora da verificare ci dicono che gli autori dell’attacco sono stati 4chan o ebaumsworld.