Falle sul sito di Sky, hacker in arrivo?

UPDATE:Abbiamo pubblicato questo articolo nel primo pomeriggio di oggi. In serata Sky ci ha informati di voler chiarire che le informazioni fornite dall'esperto da noi ascoltato non sarebbero esatte. In attesa della  produzione di un documento teso a smentire l'esistenza delle falle  dichiarate dal Signor Natalucci, l'azienda ci tiene a sottolineare come il proprio sito  sia sicuro al 100% e assolutamente privo di buchi di sicurezza. "I nostri utenti possono stare tranquilli - ci dice l'ufficio stampa - non vi sono possibilità di ingresso di terze parti sul sit no".

------------------------

Nessuno è ancora certo che si tratti di una violazione hacker o meno, tuttavia quello che è successo lunedì scorso, quando tra i titoli di Sky TG 24 è apparso “Scandalo, Milan merda”, lascia abbastanza perplessi. È possibile che gli hacker possano introdursi all’interno delle trasmissioni televisive e mandare in onda ciò che vogliono? La possibilità non è pur nulla remota soprattutto se si cerca di entrare per le porte secondarie, come possono essere i siti web affiliati. Il campanello d’allarme viene lanciato da Fabio Natalucci, esperto di security IT, che ha scoperto una falla “0-day” , ovvero ancora non risolta, sul sito di Sky Italia che potrebbe permettere un attacco “brute force” con la possibilità di violare i server dell’azienda.

“Ho scoperto una vulnerabilità sul sito che permette ad un utente malevolo di effettuare un attacco di forza bruta e ricavare le credenziali di accesso degli utenti registrati – scrive Fabio sul suo blog - pensate a quante informazioni sensibili si possono trovare su un sito come Sky.it, tra cui indirizzi, numeri di telefono, carte di credito. Per non parlare poi della possibilità di modificare l'account e vedere gratis partite e film anche in mobilità, con SkyGo”.

La storia di Fabio comincia a novembre del 2012 quando, dopo aver scoperto la falla, era anche riuscito a contattare un responsabile IT security del sito di Sky. Nonostante l’avvertimento ad oggi è tutto ancora immutato, con il bug nel sito probabilmente sempre presente e potenzialmente aperto a soggetti esterni. Fabio non si spiega come mai Sky non abbia preso in considerazione il suo appello: “Ho avvisato Sky della possibile vulnerabilità e dopo aver fatto passare tre mesi esatti ho pubblicato online una spiegazione “Full Disclosure” del PoC . Le cose ad oggi non sono cambiate. A rischio ci sono informazioni sensibili degli abbonati. Sky ha subito un ulteriore attacco pochi giorni fa, sembra essere scoperta su molti fronti. Da pochi giorni ne ho scoperto un altro meno grave ma non meno pericoloso. In generale c'è da fare molta attenzione”.

La notizia è stata ripresa a marzo anche dalla stampa estera. Il sito Security Affairs scrive: “La falla scoperta dall’IT specialist italiano permette ad un aggressore di accedere alle informazioni sensibili presenti sul sito”. La pericolosità maggiore, infatti, riguarda l’esistenza di software online gratuiti che permettono, a partire da un indirizzo web (come quello che sfrutta la vulnerabilità di Sky.it), di provare infinite combinazioni di username e password, con danni rilevanti.