Aggiornamenti recenti Dicembre 12th, 2024 4:12 PM
Set 29, 2018 Giancarlo Calzetta Attacchi, In evidenza, News, Privacy 0
La funzione “vedi come” non è tra le più usate di Facebook e forse proprio per questo i tecnici del famoso social network sono riusciti a scoprire una vulnerabilità molto grave che permetteva a un pirata di controllare completamente un profilo del quale non era proprietario e del quale non aveva neanche la password né lo username.
In pratica, a causa di tre diversi bug contenuti nella funzione “vedi come”, un attaccante poteva ottenere il token d’accesso usato dal browser per ricordare la login dell’utente. Questo significa che il pirata veniva riconosciuto esattamente come l’utente proprietario dell’account attaccato, potendone gestire ogni aspetto che non richiedesse l’inserimento della password.
Questo è un dettaglio molto importante. Nonostante la falla fosse molto grave, per quel che si è visto finora (e per le dinamiche che si sono viste coinvolte) è praticamente certo che chi ha sfruttato questa falla non ha avuto modo di rubare le password degli account che violava.
Facebook è corsa ai ripari e ha eliminato la falla, bloccando in via precauzionale anche la funzione “vedi come”, che dava la possibilità agli utenti di vedere i propri post e la propria pagina come la vedeva uno dei propri “amici”. In questo modo, quando si impostavano delle restrizioni a qualcuno dei nostri conoscenti, era possibile andare a controllare come effettivamente si presentava la nostra pagina Facebook agli occhi di chi avevamo deciso di limitare.
Purtroppo, a causa di quei bug non si finiva solo per avere visione di come l’utente che impersonavamo poteva visualizzare i nostri contenuti, ma finivamo per ottenere anche il suo token di login, che poteva poi essere usato via browser per accedere all’account senza inserire username e password.
E qui iniziano le cose inquietanti. Da quanto si è capito finora, l’attacco partiva da un account e si estendeva a tutti i suoi amici, per poi espandersi ancora agli amici degli amici. Arrivare a un bersaglio ben definito, quindi, è piuttosto complicato e laborioso. Ma qualcuno aveva iniziato a usare in massa questo sistema per navigare e raccogliere dati sui vari account.
Questo qualcuno, inoltre, dev’essere una persona che ha trovato il modo di racimolare più denaro ficcanasando nei profili violati piuttosto che segnalando il bug a Facebook, la quale avrebbe probabilmente erogato il premio più alto disponibile, quello da 30.000 dollari.
Chi è, quindi, che è riuscito a sfruttare in massa una vulnerabilità creata dalla concatenazione di tre bug, tutti appartenenti a una funzione poco usata, per poi investire ore e denaro nel trasformarla in una raccolta dati? C’è chi punta il dito su di uno stato canaglia, ma la verità è che è ancora troppo presto per saperne qualcosa. Facebook, infatti, ci fa sapere che le indagini sono appena iniziate e che ci vorranno diversi giorni prima di avere un quadro più chiaro.
Poteva il Social Network per eccellenza scoprire questa falla prima che venisse usata su larga scala? Ovviamente sì. Non era semplice pensarci, ma neanche così difficile perché tutti i servizi di grandi dimensioni, al giorno d’oggi, dovrebbero avere un sistema di controllo degli IP dai quali ci si collega. Se un utente ha il proprio token attivato in un’area geografica e poi, magicamente, riappare in contemporanea o in breve tempo in un altro continente, una flag dovrebbe alzarsi.
C’è da dire che “larga scala” quando si parla di Facebook è relativo. Per il colosso dei social network, 50 milioni sono una parte minima della sua base di utenti che ha superato i due miliardi di account.
Cosa dobbiamo fare per proteggerci? Nulla. Facebook ha già risolto semplicemente forzando il logout degli account affetti. Dal momento che i pirati non hanno potuto rubare le password, non serve neanche cambiarla (in teoria, ma fatelo lo stesso).
Ricordiamoci, però, quello che invece i pirati potevano fare: vedere tutti i nostri post, postare in nostra vece, mandare messaggi privati, caricare o scaricare foto a prescindere dalle impostazioni di privacy e così via.
Nov 25, 2024 0
Nov 21, 2024 0
Nov 18, 2024 0
Ott 30, 2024 0
Dic 12, 2024 0
Dic 11, 2024 0
Dic 10, 2024 0
Dic 09, 2024 0
Dic 10, 2024 0
In Cina scoppia il mercato nero dei dati sensibili: oltre a...Dic 09, 2024 0
Quali strumenti vengono usati in Italia per tracciare gli...Dic 06, 2024 0
Sempre più gruppi hacker stanno sfruttando gli eventi...Dic 05, 2024 0
Il settore della cyber insurance si sta espandendo: se...Dic 04, 2024 0
Le festività e gli weekend sono i periodi peggiori per le...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Dic 12, 2024 0
Il team di sicurezza di Oasis ha scoperto una...Dic 11, 2024 0
I ricercatori di ESET hanno scoperto il primo bootkit...Dic 10, 2024 0
In Cina scoppia il mercato nero dei dati sensibili:Dic 09, 2024 0
Quali strumenti vengono usati in Italia per tracciare gli...Dic 09, 2024 0
La Cybersecurity and Infrastructure Security Agency (CISA)...