Un hacker etico ha sfruttato un bug nel modo in cui X tronca gli URL per prendere il controllo di un canale Telegram della CIA utilizzato per ricevere informazioni. Kevin McSheehan, noto online come “Pad”, ha individuato il problema passando il mouse sul link al canale Telegram della CIA visualizzato sul suo profilo sui social media X.
Dopo un aggiornamento del profilo CIA, l’URL di Telegram è stato abbreviato, eliminando parte del nome utente completo. Questo ha permesso a McSheehan di registrare il nuovo handle non registrato. L’URL corretto di Telegram avrebbe dovuto essere visualizzato come https://t.me/securelycontactingcia, ma X lo ha abbreviato in https://t.me/securelycont, un nome di account non registrato al momento.
McSheehan ha dichiarato alla BBC, che ha riportato per prima la notizia, di aver registrato il nome dell’account appena ha realizzato che era disponibile, per mitigare eventuali intercettazioni di informazioni. Invece di abbreviare semplicemente l’URL nel profilo X, X lo ha abbreviato in modo da cambiare completamente il percorso del link, rendendo la CIA vulnerabile a potenziali campagne di spionaggio.
La preoccupazione era che una nazione ostile potesse aver notato lo stesso problema e sfruttarlo per ricevere informazioni occidentali. Questo avrebbe potuto permettere di creare un falso account CIA su X, utilizzando la stessa immagine e le informazioni del profilo pubblico, e pagando per la verifica per aumentare la legittimità percepita dell’account.
McSheehan ha affermato in un post su X che “era la tempesta perfetta per qualcosa di piuttosto grave da accadere”. Dopo aver registrato il nome dell’account, McSheehan ha postato un singolo messaggio sul canale Telegram scoraggiando chiunque vi accedesse dal condividere informazioni sensibili. Ha anche spiegato come è stato in grado di prendere il controllo di un canale pubblicizzato dall’account ufficiale X della CIA e che era pronto a cedere il canale al governo statunitense.
La CIA ha successivamente modificato il suo profilo per visualizzare l’URL corretto di Telegram. L’agenzia non ha risposto alla richiesta di commento da parte di The Register, e l’ufficio stampa di X ha risposto automaticamente con “Occupato ora, per favore ritorna più tardi”.