Telefono Sotto Controllo Tutto sulle Intercettazioni Telefoniche e Digitali su Cellulari e PC

4Nov/122

Un milione di account Facebook vulnerabili

Vi è mai capitato di ricevere da Facebook dei link, tramite email, cliccando sui quali vi trovate direttamente loggati nel vostro profilo? E' una bella comodità, vi evita di dover inserire tutte le volte la password permettendovi di accedere subito alle chat, rispondere ai messaggi, concedere l'amicizia a chi ve la chiede ma... qualcuno ha trovato il modo di sfruttarla per entrare negli account Facebook senza password!

Sul sito Hacker News è stato riportato un messaggio contenente una stringa di ricerca che, se usata su Google, permetteva di restituire un elenco di link a 1,32 milioni di account di Facebook. In alcuni casi cliccando su un link collegato a tale account, senza bisogno di inserire la password, si apriva l'account dell'utente legittimo. Questa vulnerabilità, come è intuibile, può facilmente permettere il furto di identità dell'account Facebook dell'utente il cui link è stato pubblicato.

Il messaggio inviato alle Hacker News ha sfruttato un sistema utilizzato quotidianamente da Facebook per permettere agli utenti di accedere rapidamente al proprio account. Avvisi e-mail sugli aggiornamenti di stato e le notifiche spesso contengono un link che consente a un utente del social network rispondere rapidamente facendo clic per accedere al proprio account.

In un commento riportato dal sito Hacker News, l'Ingegnere per la Sicurezza di Facebook Matt Jones ha detto che i link vengono di solito inviati soltanto agli indirizzi e-mail di chi ha un account Facebook. Matt Jones ha aggiunto che i link inviati in questo modo possono essere cliccati un volta sola, poi vengono disabilitati. Ma allora come ha potuto Hacker News avere accesso a oltre un milione di questi link, se sono presenti soltanto nelle email di proprietari di account Facebook e se, inoltre, vengono inviati soltanto tramite email ai diretti interessati?

"Affinché un motore di ricerca possa essersi imbattuto in questi link, il contenuto dei messaggi di posta elettronica deve essere state pubblicato on-line", ha scritto il Sig. Jones. Egli sospetta quindi che i link siano stati divulgati da siti di posta elettronica usa e getta oppure da provider email che hanno subito attacchi informatici. La maggior parte dei milioni o giù di lì collegamenti che sono stati divulti sarebbe già scaduto, ha detto Jones, rendendo quindi gli account Facebook non più vulnerabili a problematiche di accesso non autorizzato.

"Indipendentemente da ciò, a causa di alcuni di questi collegamenti che sono stati divulgati, abbiamo disabilitato la funzione di collegamento tramite link fino a quando non potremo garantire meglio la sicurezza dei nostri utenti che hanno per qualche motivo divulgato al pubblico il contenuto delle loro email".

Mr Jones ha aggiunto che Facebook si è adoperata per garantire gli account degli utenti che sono state esposte dalla vulnerabilità. Molti degli utenti i cui link di accesso a Facebook sono stati esposti risiedono in Russia e Cina.

Commenti (2) Trackback (0)
  1. Buonasera. E’ possibile che un gruppo privato creato su facebook da poche persone possa essere spiato dall’esterno? Grazie per l’attenzione.

    • Affinché qualcuno dall’esterno sia in grado di spiare un gruppo su Facebook, questi deve avere i dati di accesso di uno dei membri o degli organizzatori. Parliamo ovviamente di persone non autorizzate, malintenzionati ad esempio, che con l’inganno (ad es. tramite phishing o trojan o social engineering) ottengono la password di un profilo Facebook autorizzato ad accedere al gruppo, anche se privato. La questione, quindi, si ribalta sulla possibilità per un utente esterno di spiare un account Facebook senza esserne autorizzato… e lì ci sono diverse modalità più o meno facili da attuare.


Leave a comment

I trackback sono disattivati.