Colpo di scena nella vicenda informatica più calda di questa primavera 2011. Ad appena due giorni dal ritorno alla normalità, gli esperti hanno individuato un'altra gravissima debolezza nella sicurezza della piattaforma Sony, potenzialmente sfruttabile dai malintenzionati per causare altri disagi.
A rivelare il problema è stato il sito di videogiocatori Nyleveia tramite un corposo articolo pubblicato mercoledì.
In pratica, è stato scoperto che la pagina web adibita al cambio della password associata all'account è interessata da un baco a causa del quale chiunque può modificare la parola chiave per un qualsiasi account, anche in caso questi non ne avesse il diritto.
Grazie a questa svita, un aggressore è libero di scegliere una password arbitraria per il profilo della vittima, ed utilizzarla poi per entrare nell'account in questione. Come effetto collaterale, il legittimo proprietario viene tagliato fuori completamente, poiché la password originariamente scelta non viene più riconosciuta.
Al cracker, spiega Nyleveia, non è richiesto di conoscere altro se non l'indirizzo e-mail utilizzato in fase di registrazione dall'obbiettivo e la sua data di nascita: due informazioni che, come evidente, è spesso facilissimo recuperare anche solamente consultando i siti di social networking.
Inoltre, i responsabili del maxi-furto di aprile del database dispongono già di questi dettagli per milioni di utenze.
La fonte non ha rivelato la tecnica precisa da utilizzarsi, ma ha assicurato che il tutto è stato dettagliato pubblicamente negli ambienti underground della rete.
In attesa di una soluzione da parte dei tecnici Sony, la soluzione è quella di creare un nuovo indirizzo e-mail da mantenersi completamente segreto e riassociare quindi ad esso il proprio profilo.
Sony ha reagito prontamente: la pagina incriminata è stata posta off-line e, al suo posto, viene ora un laconico messaggio di "servizio in manutenzione". Frattanto, il gruppo ha precisato via Twitter che l'intervento non inficia in alcun modo l'operatività delle console e le rispettive funzionalità di gaming on-line.
Tramite un post inserito sul blog ufficiale, Sony ha commentato: "Non c'è stato alcun hack. La procedura di modifica della password era interessata da un exploit sull'URL che abbiamo corretto". È quindi presumibile che la pagina torni on-line già dalle prossime ore.
MegaLab.it rispetta la tua privacy. Per esercitare i tuoi diritti scrivi a: privacy@megalab.it .
Copyright 2008 MegaLab.it - Tutti i diritti sono riservati