Gli annunci PowerLinks mettono a rischio milioni di lettori, provenienti da pubblicazioni importanti come The Verge, Vice News e altro ancora

I lettori dei principali siti Web come Vice News , CNET , The Verge , Neowin e altri sono stati esposti a rischi per la sicurezza dal 2015 perché gli annunci pubblicati dalla piattaforma (platform use)pubblicitaria PowerLinks(PowerLinks advertising) utilizzano certificati SSL scaduti . Ecco cosa sta succedendo, a cosa ti stai esponendo quando leggi pubblicazioni che includono annunci PowerLinks e cosa puoi fare per stare al sicuro:

Gli annunci offerti tramite PowerLink hanno certificati SSL scaduti a ottobre 2015(October 2015)

Durante la lettura di diversi siti Web sul mio personal computer, ho notato che la mia soluzione di sicurezza(security solution) si lamentava del fatto che il mio browser stava tentando di comunicare su un canale crittografato con un certificato non attendibile. Il mio antivirus non poteva garantire l'autenticità del dominio a cui era stata stabilita la connessione crittografata e ciò rappresentava per me un rischio(security risk) per la sicurezza. Inizialmente, ho ignorato questo avviso e ho continuato a leggere. Tuttavia, dopo averlo visto su diversi grandi siti web, ho iniziato a prestare attenzione e ho studiato le cose in modo più dettagliato.

Sono stato sorpreso di scoprire che questo avviso è mostrato su grandi pubblicazioni online ed è sempre causato da annunci pubblicati da pw.powerlinks.com. Tutti hanno un certificato SSL(SSL certificate) scaduto nell'ottobre 2015(October 2015) , come puoi vedere di seguito.

PowerLink, annunci, SSL, scaduti

Per verificare se questo fosse vero e non solo un falso allarme, ho provato un altro prodotto di sicurezza(security product) di prim'ordine e i risultati sono stati gli stessi. Ho navigato in più siti e ho notato che lo stesso problema si ripeteva per alcuni grandi nomi del mondo dell'editoria(publishing world) .

Cosa offre PowerLinks agli(PowerLinks offer) editori?

Secondo il loro sito Web ufficiale, PowerLinks ha un portafoglio completo di soluzioni e servizi pubblicitari. Offrono un Ad Server per i siti nel loro portafoglio di clienti, una piattaforma Ad Exchange(Ad Exchange platform) , annunci nativi (in-text, in-video, in-image, in-feed e in-display) e altro ancora.

Perchè questo è un problema? I problemi a cui siamo esposti quando i siti Web visualizzano annunci con certificati SSL scaduti(SSL)

Se non hai installato una buona soluzione di sicurezza(security solution) , potresti non notare mai questo problema. Tuttavia, se utilizzi un buon antivirus che scansiona il tuo traffico HTTP(HTTP traffic) in tempo reale, sarai infastidito da una richiesta di sicurezza(security prompt) su diverse pubblicazioni multimediali di grandi dimensioni che utilizzano i servizi pubblicitari forniti da PowerLinks .

Lasciando da parte il fattore fastidio(annoyance factor) , abbiamo chiesto a Catalin Patrascu (capo del dipartimento di sicurezza e monitoraggio delle informazioni(Information Security and Monitoring Department) presso il team nazionale rumeno di risposta agli incidenti per la sicurezza informatica(National Computer Security Incident Response Team) ) dei rischi per la sicurezza associati a questi annunci e ha dichiarato quanto segue:

"Teoricamente, la verifica dei certificati SSL può essere eseguita anche se sono scaduti. Per gli utenti che si abituano a questo errore e non controllano il certificato SSL ogni volta che ottengono l'errore, c'è il rischio di essere reindirizzati a dannosi pagine e diventando il bersaglio di attacchi man-in-the-middle"("Theoretically, the verification of SSL certificates can be done even though they are expired. For the users that get used to this error and don't check the SSL certificate each time they get the error, there is the risk of getting redirected to malicious pages and becoming the target of man-in-the-middle attacks") .

Un'altra cosa importante da considerare è che questi annunci tengono traccia anche dei dati degli utenti e del comportamento degli utenti. Questi dati vengono inviati attraverso un canale non sicuro(insecure channel) , rendendolo vulnerabile all'intercettazione da parte di parti indesiderate.

I siti Web interessati da questo problema includono: The Verge , Vice News , CNET e altri

Non conosciamo l'elenco esatto dei siti Web interessati da questo problema. Partiamo dal presupposto che tutti i clienti PowerLinks siano a rischio. Finora, abbiamo identificato questo problema su grandi pubblicazioni dei media come The Verge , Vice News , CNET , Neowin e altri(Neowin and others) . Questi siti Web hanno decine di milioni di lettori ogni mese e la sicurezza del loro pubblico è stata messa a rischio ogni giorno in cui hanno pubblicato annunci PowerLinks , da (PowerLinks)ottobre 2015(October 2015) .

Questo problema è causato da una semplice negligenza da parte di PowerLink

Quello di cui abbiamo a che fare qui è pura negligenza. Questi certificati SSL non sono scaduti da un paio di giorni o un mese. Sono scaduti dal 2015 e PowerLinks non sta facendo il suo lavoro nell'offrire soluzioni pubblicitarie sicure sia alle pubblicazioni online che ai lettori di tali pubblicazioni. Il loro team tecnico non si è accorto che la loro piattaforma pubblicitaria(advertising platform) utilizza certificati SSL scaduti da anni e non ha fatto nulla per risolvere questo problema mettendo a rischio milioni di lettori. I creatori di malware(Did malware) hanno sfruttato questo problema? Questa è una buona domanda e non siamo sicuri che PowerLinks possa rispondere. Alla fine, non si sono nemmeno presi cura delle basi come le date di scadenza.

Quali(Which security) prodotti di sicurezza mi hanno aiutato a scoprire questo problema?

La prima volta che ho riscontrato questo problema è stato durante la navigazione in alcuni dei siti Web menzionati in precedenza e ho utilizzato ESET Smart Security come antivirus.

PowerLink, annunci, SSL, scaduti

Questo problema è stato confermato anche da Kaspersky Total Security , come puoi vedere di seguito.

PowerLink, annunci, SSL, scaduti

Siamo lieti che questi prodotti abbiano svolto il loro lavoro informandoci e proteggendoci dalle vulnerabilità della sicurezza della piattaforma pubblicitaria PowerLinks e aiutandoci a svelare cosa sta succedendo. È un'ulteriore prova che dovresti sempre installare un prodotto antivirus(antivirus product) di terze parti e interrompere la navigazione sul Web, non protetto. Se sei curioso di saperne di più sui rischi connessi alla navigazione sul Web senza protezione, leggi questo esperimento che abbiamo eseguito: Come infettare il tuo PC Windows(Windows PC) mentre navighi sul Web gratuitamente.

Cosa abbiamo fatto per aiutare i lettori e le pubblicazioni interessati da questo problema di sicurezza(security issue) ?

Prima(First) di tutto, abbiamo scritto questo articolo per informare tutti su questo argomento. Abbiamo anche chiesto a PowerLinks un commento ufficiale. Tuttavia, la loro e-mail di contatto ufficiale non funziona e tutto ciò che abbiamo ricevuto è un errore di notifica dello stato(Status Notification Failure) di consegna , che puoi vedere di seguito.

PowerLink, annunci, SSL, scaduti

Abbiamo inviato questo articolo a tutte le pubblicazioni dei media che abbiamo riscontrato che sono interessate, nonché a PowerLinks , utilizzando i loro canali di social media. Ci auguriamo che non ignorino il nostro messaggio e adottino misure per risolvere questo problema.

UPDATE (03/21/2017): Siamo finalmente riusciti a ricevere il nostro messaggio inviato a PowerLinks e abbiamo ricevuto la seguente risposta da Branden Smythe , VP Business Development :

"Ho ricevuto la notifica che hai contattato PowerLinks. Affronteremo le preoccupazioni che hai postato a breve."("I received notice that you reached out to PowerLinks. We will address the concerns you posted shortly.")

Oggi abbiamo ricontrollato i siti Web in cui abbiamo riscontrato i problemi che abbiamo descritto e le cose ora funzionano bene. Sembra che PowerLinks abbia eseguito i passaggi necessari per garantire la pubblicazione degli annunci(ad delivery) su tutti i siti Web, il che è fantastico. Si spera(Hopefully) che impareranno da questo problema e si prenderanno più cura delle basi della sicurezza come la data di scadenza(expiration date) dei certificati SSL .

Cosa puoi fare per proteggerti da annunci PowerLinks non sicuri?(PowerLinks)

Se la tua soluzione di sicurezza(security solution) si lamenta dei certificati SSL scaduti utilizzati dagli annunci (SSL)PowerLinks , dovresti bloccarli. Se non disponi di un antivirus che scansiona il tuo traffico HTTP(HTTP traffic) in tempo reale , dovresti eseguire questi siti Web utilizzando modalità di navigazione private che bloccano anche gli annunci non sicuri o trovano un altro modo per bloccarli. Non siamo fan del blocco degli annunci sui siti Web che abbiamo menzionato perché la pubblicità è ciò che mantiene queste pubblicazioni in grado di fornire a tutti ottimi contenuti. Si spera che questo problema venga risolto presto e tutti possiamo goderci le nostre pubblicazioni preferite, in sicurezza, senza bloccare la loro pubblicità e consentire loro di guadagnare dal proprio lavoro.



Ludovica Marini

About the author

Sono un ingegnere informatico con oltre 10 anni di esperienza nel settore del software. Sono specializzato nella creazione e manutenzione di applicazioni software individuali e aziendali, nonché nello sviluppo di strumenti di sviluppo per piccole imprese e grandi organizzazioni. Le mie capacità risiedono nello sviluppo di una solida base di codice, negli strumenti di debug e test e nel lavorare a stretto contatto con gli utenti finali per garantire che le loro applicazioni funzionino perfettamente.


Related posts