Sicurezza

Mr. Robot salvato da… tanti altri veri hacker

Chi non ha gridato di gioia quando Mr. Robot è sbarcato sugli schermi (e sui monitor) di mezzo mondo? La serie prodotta da USA Network è stata accolta da critica e pubblico come una delle più accattivanti e originali degli ultimi anni.

Soprattutto, ha il merito di aver invertito la tendenza hollywoodiana a trasformare il mondo hacker in una baracconata infarcita di effetti speciali e trovate tecnicamente improbabili.

locandina
La seconda stagione di Mr. Robot partirà il prossimo 13 luglio. La campagna pubblicitaria è partita lo scorso 9 maggio con il sito whoismrrobot.com

In occasione del lancio della seconda stagione (previsto per il 13 luglio) i produttori hanno messo in piedi un sito Web in puro stile “Mr. Robot”: una sorta di chat testuale su sfondo nero in cui l’uso del mouse è praticamente bandito in favore di un sistema di comandi da digitare tramite tastiera.

Unica concessione al mainstream: la richiesta di registrarsi con il proprio account Facebook per accedere ai contenuti del sito.

Peccato che il sito avesse una vulnerabilità piuttosto grave: sfruttando un cross-site scripting (XSS) sarebbe stato possibile inserire un Javascript per sottrarre tutti i profili Facebook registrati

FB
Vuoi unirti alla FSociety? Clicca qui e spera che nessuno registri il tuo profilo Faceboook.

Ad accorgersene è stato Zemnmez (è un soprannome), un hacker che ha immediatamente contattato il creatore della serie e gli ha permesso di tappare la falla prima (si spera) che qualcuno ne potesse approfittare.

L’episodio ha scatenato una prevedibile ironia in rete, nonché un certo interesse da parte di altri hacker che hanno deciso di “buttare un occhio” al sito della serie di cui parecchi di loro sono anche fan.

Tre giorni dopo la scoperta della prima falla, quindi, un altro hacker (nickname corenumb) ha scoperto un’altra vulnerabilità nel processo di registrazione.

Due vulnerabilità critiche in un solo modulo non è male per un sito dedicato a una serie con degli hacker come protagonisti.

sito
Premuroso e puntualissimo, Zemnmez ha avvisato i produttori della serie TV il giorno stesso del lancio del sito.

In particolare, il nuovo "buco" permettava una “Blind SQL Injection”, cioè l’invio di comandi SQL bypassando il controllo che avrebbe dovuto impedirne l’esecuzione.

Il database in questione custodiva anche tutti gli indirizzi email degli utenti restrati del sito, “liberamente” accessibili tramite SQLmap, uno strumento open source spesso usato nei penetration tests.

Anche corenumb, essendo un hacker etico, ha rivelato la vulnerabilità ai produttori della serie, che giurano di aver preso le dovute contromisure.