‘Dios es una cebolla’
Vatican News, la web oficial de noticias del Vaticano, ha amanecido hoy con la noticia de que el Papa Francisco ha reconocido lo inimaginable: dios es una cebolla. La revelación ha tenido lugar tras una larga investigación por parte de los expertos del Vaticano y, por supuesto, es falsa. Ha sido obra de un hacker.
Aunque la broma probablemente no haya sentado muy bien dentro de los muros del Vaticano, lo cierto es que podía haber sido mucho peor. La noticia falsa es obra de Inti De Ceukelaire, un investigador de seguridad belga que ya es famoso por haber encontrado fallos en Slack o haber redirigido enlaces en los tuits del mismísimo Donald Trump.
En esta ocasión, De Ceukelaire ha encontrado una vulnerabilidad XSS en el código de Vatican News. El fallo permite inocular cualquier código maligno en la página y usarlo para, por ejemplo, redirecionar la web hacia contenido maligno. No es el peor tipo de XSS que existe, pero puede suponer un problema.
La parte más grave del incidente es que De Ceukelaire es un hacker ético. Descubrió el fallo hace tiempo y lo comunicó en privado al Vaticano sin hacerlo público. Nadie contestó ni solucionaron el fallo, así que el programador lo hizo público con un poco de humor.
El fallo radicaba en los scripts de sitios cruzados sin parches (XSS), que suponen una importante amenaza en temas de seguridad.
“Hace dos semanas, les dije que si no declaraban que iban a arreglar esto, yo haría una divulgación completa y responsable. No para dañarlos, sino para mostrar que las noticias falsas pueden propagarse fácilmente. Papa o no, debes cumplir con los estándares de seguridad “, argumentó el analista en seguridad informática.
GOD = AALSTENAAR. Niet mijn woorden, die van de paus. Merci, @Pontifex!
LINK: http://vaticanne.ws/ajoin (1/2)
