Chi non ha gridato di gioia quando Mr. Robot è sbarcato sugli schermi (e sui monitor) di mezzo mondo? La serie prodotta da USA Network è stata accolta da critica e pubblico come una delle più accattivanti e originali degli ultimi anni.
Soprattutto, ha il merito di aver invertito la tendenza hollywoodiana a trasformare il mondo hacker in una baracconata infarcita di effetti speciali e trovate tecnicamente improbabili.
In occasione del lancio della seconda stagione (previsto per il 13 luglio) i produttori hanno messo in piedi un sito Web in puro stile “Mr. Robot”: una sorta di chat testuale su sfondo nero in cui l’uso del mouse è praticamente bandito in favore di un sistema di comandi da digitare tramite tastiera.
Unica concessione al mainstream: la richiesta di registrarsi con il proprio account Facebook per accedere ai contenuti del sito.
Peccato che il sito avesse una vulnerabilità piuttosto grave: sfruttando un cross-site scripting (XSS) sarebbe stato possibile inserire un Javascript per sottrarre tutti i profili Facebook registrati.
Ad accorgersene è stato Zemnmez (è un soprannome), un hacker che ha immediatamente contattato il creatore della serie e gli ha permesso di tappare la falla prima (si spera) che qualcuno ne potesse approfittare.
L’episodio ha scatenato una prevedibile ironia in rete, nonché un certo interesse da parte di altri hacker che hanno deciso di “buttare un occhio” al sito della serie di cui parecchi di loro sono anche fan.
Tre giorni dopo la scoperta della prima falla, quindi, un altro hacker (nickname corenumb) ha scoperto un’altra vulnerabilità nel processo di registrazione.
Due vulnerabilità critiche in un solo modulo non è male per un sito dedicato a una serie con degli hacker come protagonisti.
In particolare, il nuovo "buco" permettava una “Blind SQL Injection”, cioè l’invio di comandi SQL bypassando il controllo che avrebbe dovuto impedirne l’esecuzione.
Il database in questione custodiva anche tutti gli indirizzi email degli utenti restrati del sito, “liberamente” accessibili tramite SQLmap, uno strumento open source spesso usato nei penetration tests.
Anche corenumb, essendo un hacker etico, ha rivelato la vulnerabilità ai produttori della serie, che giurano di aver preso le dovute contromisure.