Gallup, la conocida empresa internacional de investigación de mercados, ha tomado medidas para bloquear los fallos de seguridad en su sitio web. La vulnerabilidad de secuencias de comandos entre sitios (XSS) podría haber expuesto datos personales o haber sido utilizada para difundir información falsa. Los fallos salieron a la luz en un momento en que las elecciones presidenciales de Estados Unidos avanzan a un ritmo acelerado, con preocupaciones sobre actores maliciosos que difunden información errónea. Los investigadores de Checkmarx encontraron dos fallos XSS en el sitio web de Gallup. Los fallos eran una vulnerabilidad XSS reflejada, con una puntuación CVSS de 6,5, y XSS basada en DOM, con una puntuación de 5,4. Los investigadores de Checkmarx encontraron originalmente los fallos y los informaron a Gallup en junio, y desde entonces la empresa de investigación de mercados ha corregido las vulnerabilidades. Según Checkmarx, las vulnerabilidades XSS permiten a los atacantes eludir las políticas del mismo origen, hacerse pasar por usuarios y acceder a sus datos. Además, si un usuario tiene acceso privilegiado, los atacantes podrían «obtener control total sobre la funcionalidad y los datos de una aplicación». La vulnerabilidad de cross scripting reflejada afectó a una aplicación de kiosco en el sitio web de Gallup, utilizada para lanzar encuestas. La falla podría haber permitido la ejecución de código arbitrario, lo que resultó en el acceso a datos personales e incluso la capacidad de agregar un producto no autorizado al carrito de compras del usuario. La falla XSS basada en DOM (Document Object Model) en my.gallup.com podría permitir a los atacantes ejecutar código arbitrario en la sesión de navegación de una víctima, lo que potencialmente resultó en la apropiación de la cuenta. Checkmarx ha publicado pruebas de concepto para ambas fallas. Lea más sobre las vulnerabilidades XSS: Hotjar, Business Insider Vulnerabilidades exponen riesgos de datos OAuth Checkmarx recomendó a Gallup agregar o ajustar su política de seguridad de contenido y «restringir las ubicaciones donde el navegador puede obtener y ejecutar scripts», así como «codificar correctamente los datos de acuerdo con el contexto de salida en el que se incluirán antes de agregarlos al marcado de respuesta (HTML) o DOM de la página». Los investigadores informan que Gallup solucionó las fallas. “El equipo de Checkmarx descubrió una falla en el código del sitio web de la empresa de encuestas Gallup que podría haber permitido a los actores de amenazas publicar contenido personalizado de ‘noticias falsas’ en ese sitio”, dijo Erez Yalon, vicepresidente de investigación de seguridad en Checkmarx, a Infosecurity. “Al explotar el cross-site scripting (XSS), el equipo de Checkmarx demostró cómo se podrían haber publicado resultados de encuestas falsos en el sitio web de Gallup. Checkmarx trabajó con los equipos de seguridad y sitio web de Gallup para remediar la vulnerabilidad de seguridad, que los equipos de Gallup completaron rápidamente. “Durante un año de elecciones presidenciales en EE. UU. donde se dice que los votantes indecisos son los votos decisivos en esa nación profundamente dividida, está claro que un actor de amenazas podría publicar resultados de encuestas falsos que podrían llevar a los votantes indecisos menos motivados a decidir que sus votos no cuentan y a no participar en el proceso de votación”. A principios de este año, el Foro Económico Mundial (WEF) destacó la desinformación y la información errónea en su Informe de Riesgos Globales. La desinformación es el riesgo más grave y está aumentando rápidamente, según el WEF.