Poche ore fa il sito secure2.donaldjtrump.com, che raccoglie le donazioni per Donald Trump, è stato violato inserendo una pagina di rivendicazione, mostrata qui sotto. Il messaggio che contiene dice “Hacked By Pro_Mast3r ~ / Attacker Gov / Nothing Is Impossible / Peace From Iraq”.
Su Twitter, @pwnallthethings ha segnalato la violazione e ha notato che il sito è in realtà ospitato su Pantheonsite.io ed è gestito tramite WordPress:
Quick update: https://t.co/b1oRrvG2Om is served by CloudFlare for load-balancing, but the "real" site behind it is https://t.co/9HIbG3OlTZ.— Pwn All The Things (@pwnallthethings) February 19, 2017
This site is a WordPress created today, hosted at pantheonsite.io (Sun, 19 Feb 2017 07:57:35 GMT to be precise) - https://t.co/JCYXOSV6B1— Pwn All The Things (@pwnallthethings) February 19, 2017
Il codice sorgente della pagina è questo:
Non contiene codice ostile ma contiene un link a un Javascript, che però non esiste all’URL linkato. È strano che un aggressore violi un sito così in vista come quello di Trump senza controllare se il codice che sta caricando funziona o no: un comportamento molto dilettantesco. Di questo script ci sono copie in Archive.org, anche se la più recente che ho trovato risale al 31 luglio 2014:
Lo script sembra un generatore di fiocchi di neve ed è "firmato" da btinternet.com/~kurt.grigg/ (oggi inesistente). Un lettore, @AronFiechter, l’ha provato e gli risulta essere proprio un generatore di un'animazione che crea l’illusione di una nevicata sullo schermo. Inoltre un altro lettore, @simoneborgio, ha notato che il nome del file, salju, significa neve in indonesiano. Questo è il codice:
Il sito che ospita l’immagine presente nella pagina di defacement è invece ospitato su quello che @simoneborgio ritiene sia un hosting comune in lingua araba:
@disinformatico questo è sito dove è stata caricata l'immagine. Sembra normale servizio arabo per pubblicare immagini pic.twitter.com/9zxLnrCpjM— Simone Borgio (@simoneborgio) February 19, 2017
Il fatto che la “rivendicazione” sia generica e che il Javascript linkato non funzioni sembra indicare un attacco non mirato e non professionale; è possibile che si tratti di un attacco automatizzato a tutti i siti che usano WordPress e non hanno ancora installato le ultime correzioni di sicurezza. Ma questo fa pensare che per violare il sito di Trump basta un dilettante.
Fonti aggiuntive: Ars Technica.
Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
