Um pesquisador de segurança digital belga chamado Inti De Ceukelaire invadiu nesta quinta-feira (08) o site oficial de notícias do Vaticano, o Vatican News, e inseriu uma notícia falsa na publicação. A manchete diz “Papa Francisco: O Senhor é uma Cebola”.

A brincadeira foi feita pelo “hacker white hat” — aquele que não causa nenhum dano — para alertar o Vatican News de que a vulnerabilidade em seu XSS (cross-site scripting) era grave e precisava ser corrigida o quanto antes. De Ceukelaire já havia reportado o problema, mas a publicação oficial da Santa Sé não fez a correção. Com a invasão, o pesquisador expôs o problema publicamente e obrigou os desenvolvedores a fecharem a brecha.

Não necessariamente eu busco vulnerabilidades, mas essa era bem óbvia

“Eu vi que o Vaticano havia lançado um novo website há algum tempo. Sempre que um grande site lança uma nova plataforma de comunicação, eu dou uma checada. Eu gosto de saber que tecnologias ou softwares eles estão usando, como eles seguem tendências de design vejo se eles têm alguma ferramenta inovadora. Não necessariamente eu busco vulnerabilidades, mas essa era bem óbvia”, disse De Ceukelaire ao TNW.

Cebola?

Talvez você esteja achando que o pesquisador quis simplesmente ofender os cristãos com essa história de que “Deus é uma cebola”, mas o texto da notícia falsa explica a situação.

“O Papa Francisco está animado em anunciar a descoberta do ‘Céu na Terra’: Aalst. Após uma investigação extensiva, liderada pelos cientistas de elite do Vaticano, o Sua Santidade chegou à conclusão de que a cidade de Aalst é a tão sonhada ‘Terra Prometida’. Por conta disso, nós agora devemos nos referir ao Senhor como ‘um/uma cebola’, em homenagem ao apelido dado aos habitantes dessa abençoada cidade”.

vaticano

Aalst é um município belga 24 km distante de Bruxelas, capital do país.

Perigo                                                                                                                 

Uma falha no XSS de um site de notícias pode ser considerada grave. Isso porque um hacker malicioso — ou “black hat” — poderia facilmente inserir um código ilegítimo no site e modificar completamente ou parcialmente o que os visitantes do endereço conferem em seus navegadores. É possível inclusive redirecionar todo o tráfego de uma notícia ou mesmo da página inicial do site para algum outro endereço que convença o internauta a baixar algum tipo de malware desavisadamente. Em casos mais extremos, apenas visitar um endereço comprometido já seria o suficiente para estar infectado.

De Ceukelaire ficou famoso por ter revelado algumas falhas de segurança em algumas plataformas conhecidas, mas recentemente se tornou conhecido no Twitter por ter brincado com tweets antigos de Donald Trump que carregavam links. Alguns dos sites que Trump compartilhou no microblog tiveram seus registros vencidos, e De Ceukelaire os registrou novamente para tomar conta dos links que Trump compartilhou no passado. Assim, ele fez parecer que o atual presidente dos EUA estava tirando sarro da própria cara em seu Twitter oficial e verificado.

Cupons de desconto TecMundo: