Si sta diffondendo un worm che utilizza il motore di ricerca di Google per scovare i siti potenzialmente vulnerabili. Il worm effettua un defacement dei siti sfruttando un bug di phpBB (Php Bulletin Board), il popolare software di gestione dei Forum. E la ricerca dei siti che utilizzano una versione vulnerabile di phpBB avviene proprio tramite Google.

In pratica il worm invia a Google una richiesta e il risultato è una lista di link a siti affetti dalla vulnerabilità. Una volta in possesso dell'elenco, il worm va a colpire i siti: una tecnica che è stata ribattezzata Google hacking. Come noto, infatti, anche gli hacker (o meglio i cracker, come amano sottolineare i puristi) utilizzano Google come tool per sferrare gli attacchi.

In pochi giorni il worm (battezzato Santy.a) ha infettato oltre 130mila siti. Questo almeno è il numero di siti riportato da Msn Search, con la query NeverEverNoSanity: questa è la frase che viene inserita dal worm nei siti defacciati. Ma i siti in pericolo potrebbero essere molti di più.

Google avrebbe potuto evitare la diffusione del worm ma, secondo le dichiarazioni di Mikko Hypponen (research director di sicurezza F-Secure), non si è mossa subito. Google avrebbe potuto infatti facilmente bloccare il worm, limitandone la diffusione; ma i tecnici sono stati colti impreparati da un attacco che, questa volta, non era rivolto a Google, ma si perpetrava tramite il popolare motore di ricerca.

Hypponen sottolinea di non essere riuscito a informare per tempo la persona giusta, quella in grado di arginare il problema: solo ieri sera infatti sono stati approntati i filtri necessari a impedire al worm di operare.