La scorsa settimana, un evento di proporzioni epiche ha scosso il mondo del web development: Polyfill.io, un servizio utilizzato da oltre 100.000 siti web per migliorare la compatibilità JavaScript sui browser più vecchi, è stato accusato di distribuire malware attraverso le sue funzioni.
Questo attacco alla catena di fornitura ha colpito direttamente milioni di utenti in tutto il mondo, sollevando gravi preoccupazioni sulla sicurezza del software e sulla fiducia nei fornitori di terze parti.
Indice degli argomenti
Polyfill.io: cronaca degli eventi
La vicenda ha preso una piega rilevante quando è emerso che Polyfill.io era stato venduto all’inizio dell’anno a un’organizzazione cinese. Da quel momento, il servizio, una volta affidabile, ha iniziato a distribuire codice malevolo.
Gli script generati dinamicamente da “cdn.polyfill.io” hanno iniziato a reindirizzare gli utenti a siti pornografici e di scommesse sportive, oltre a mettere in pericolo la sicurezza dei dati attraverso tecniche come il clickjacking.
La società di monitoraggio della sicurezza C/side, attraverso il suo fondatore Simon Wijckmans, ha lanciato l’allarme. In un avviso rivolto ai proprietari di siti web, Wijckmans ha avvertito: “Controllate il codice per qualsiasi utilizzo del dominio polyfill[.]io e rimuovetelo dalle vostre applicazioni”.
Questo avviso ha messo in evidenza il rischio immediato per circa 100.000 siti web che utilizzavano il servizio compromesso.
La risposta di Polyfill.io
Invece di adottare una posizione di collaborazione e trasparenza, la prima reazione di Polyfill.io è stata quella di accusare i media e Cloudflare di diffamazione. Questa scelta ha ulteriormente danneggiato la loro reputazione, facendo sembrare l’azienda più interessata a difendersi piuttosto che a risolvere il problema.
In questa crisi, Cloudflare ha giocato un ruolo cruciale. La rete di distribuzione dei contenuti ha deciso di reindirizzare il traffico destinato a polyfill.io verso proxy disinfettati, mitigando temporaneamente l’attacco.
Questa mossa ha rappresentato una manna dal cielo per molti utenti, ma ha anche sollevato questioni legali e di fiducia. Sebbene efficace, questa soluzione non può essere considerata una strategia su cui fare sempre affidamento.
L’azione di Cloudflare, seppur audace, mette in luce la vulnerabilità intrinseca dell’affidarsi a fornitori di terze parti per funzionalità critiche del web.
Le implicazioni e le lezioni da imparare
Questo incidente ha messo in luce nuovamente, come già successo in passato, un aspetto cruciale della sicurezza nel mondo del software: la vulnerabilità dei servizi dinamici forniti da terze parti.
L’attacco alla catena di fornitura rappresenta un rischio significativo non solo per i dati degli utenti ma anche per la reputazione delle aziende coinvolte.
I fornitori di middleware, come Polyfill.io, diventano bersagli allettanti per gli attacchi, data la loro posizione di accesso privilegiato ai sistemi degli utenti.
Il caso Polyfill.io evidenzia la necessità di nuove regole di ingaggio per controllare i fornitori di componenti software.
Le aziende devono adottare una maggiore responsabilità nella selezione e nel monitoraggio dei servizi di terze parti che integrano nei loro sistemi.
Inoltre, la comunità del web deve sviluppare strategie più robuste per gestire i rischi associati agli attacchi alla catena di fornitura.
In un’era dove la sicurezza dei dati è più critica che mai, incidenti come quello di Polyfill.io ci ricordano la fragilità della nostra infrastruttura digitale.
Applicazioni Web che devono utilizzare servizi di terze parti possono basare la loro struttura sull’utilizzo in locale di tali servizi, con versioni stabili e disponibili per il download in locale.
Altrimenti, sempre meglio cambiare prodotto (pensiamo a qualsiasi implementazione remota di questo tipo, come anche un semplice CSS Bootstrap). La fiducia, una volta persa, è difficile da recuperare.
È imperativo che le aziende adottino pratiche di sicurezza più rigorose e che lavorino insieme per proteggere l’integrità del web.
