"Dio è una cipolla". Lo scherzo (a fin di bene) di un hacker al Vaticano

Un cacciatore di bug belga ha dimostrato la vulnerabilità di Vatican News: "Avevo segnalato il problema con nove mail ma non mi hanno mai risposto"

"Dio è una cipolla". Lo scherzo (a fin di bene) di un hacker al Vaticano

Il Vaticano parla di una pagina non interna al sito di informazione della Santa Sede, ma un'intrusione informatica c'è stata. Una pagina "blasfema" è comparsa sul portale Vatican ​News, il sito ufficiale di notizie del Vaticano. Nella pagina fake si dichiarava che "Dio è una cipolla" e che Papa Francesco lo aveva scoperto, annunciando che il Paradiso in terra è nella cittadina Aalst nelle Fiandre orientali.

L'autore è noto: Inti De Ceukelaire, ricercatore belga, fondatore di Stalkscan.com, che si definisce "hacker etico e cacciatore di bug".

L'obiettivo di De Ceukelaire era dimostrare la vulnerabilità XSS (Cross-site scripting) nel codice Vatican News.

Il bug consente di immettere qualsiasi codice sulla pagina e utilizzarlo, ad esempio, per reindirizzare il Web verso contenuti dannosi. De Ceukelaire aveva scoperto questa vulnerabilità tempo fa e, a quanto pare, aveva segnalato privatamente il problema al Vaticano, senza renderla pubblica. Nessuno gli ha risposto, dice il ricercatore che ha voluto quindi pubblicare il testo umoristico "blasfemo".

"Dopo nove mail - afferma su Twitter il cacciatore di bug - il Vaticano continua a considerare questo un non problema. Chiunque può semplicemente diffondere 'notizie false' tramite il loro sito. Bene, se lo permetti, puoi anche riderci sopra".

La Santa Sede: non violazione ma un fake

Dal Vaticano precisano che "il sito Vatican News non è stato violato. E' stato utilizzato - spiega il vicedirettore della Sala Stampa della Santa Sede, Paloma Garcia Ovejero - un meccanismo per far sembrare che una pagina in realtà inesistente comparisse sul sito, mentre questa si trovava su un dominio esterno, non legittimo, chiamato vaticane.ws. E' un fake", ha aggiunto, e "lo stesso autore" lo ha confermato.

"Sul dominio.ws hanno registrato un nome che è vaticane.ws - ha concluso - ma non è il nostro sito. Non c'è stata nessuna violazione del server". La pagina però è stata visibile ed è visibile ancora sui social. L'hacker "etico" è stato bloccato. Sarà riuscito nel suo intento? Sensibilizzare chi dentro le Mura vaticane gestisce il sistema informatico?

A quanto pare sì. De Ceukelaire scrive finalmente: "AGGIORNAMENTO: Il Vaticano ha deciso di aggiustarlo! (l'errore; ndr). Ora invio il link a un sito di archivio".



Se avete correzioni, suggerimenti o commenti scrivete a dir@agi.it