De Ceukelaire ha encontrado una vulnerabilidad XSS en el código de Vatican News. El fallo permite inocular cualquier código maligno en la página y usarlo para, por ejemplo, redirecionar la web hacia contenido maligno
Vatican News, la web oficial de noticias del Vaticano, ha amanecido hoy con la noticia de que el Papa Francisco ha reconocido lo inimaginable: dios es una cebolla. La revelación ha tenido lugar tras una larga investigación por parte de los expertos del Vaticano y, por supuesto, es falsa. Ha sido obra de un hacker.
Aunque la broma probablemente no haya sentado muy bien dentro de los muros del Vaticano, lo cierto es que podía haber sido mucho peor. La noticia falsa es obra de Inti De Ceukelaire, un investigador de seguridad belga que ya es famoso por haber encontrado fallos en Slack o haber redirigido enlaces en los tuits del mismísimo Donald Trump.
En esta ocasión, De Ceukelaire ha encontrado una vulnerabilidad XSS en el código de Vatican News. El fallo permite inocular cualquier código maligno en la página y usarlo para, por ejemplo, redirecionar la web hacia contenido maligno. No es el peor tipo de XSS que existe, pero puede suponer un problema.
La parte más grave del incidente es que De Ceukelaire es un hacker ético. Descubrió el fallo hace tiempo y lo comunicó en privado al Vaticano sin hacerlo público. Nadie contestó ni solucionaron el fallo, así que el programador lo hizo público con un poco de humor.
(RD/Agencias)
GOD = AALSTENAAR. Niet mijn woorden, die van de paus. Merci, @Pontifex! ? ? LINK: https://t.co/GbOQrr2NJg (1/2) pic.twitter.com/FsvVeniycg
— Inti De Ceukelaire (@intidc) 8 de febrero de 2018
