Cerca nel blog

2016/03/18

C’era un modo per vedere tutti i dati privati di tutti gli utenti di Facebook

Un ricercatore di sicurezza indiano, Anand Prakash, ha scoperto che esisteva un modo per entrare in qualunque account Facebook. Ma niente panico: Anand è uno dei buoni e il difetto è stato risolto.

Il ricercatore ha pubblicato la spiegazione del metodo e ne ha anche creato un video: in sintesi, si sfruttava la funzione “Ho dimenticato la password” di Facebook che manda all’utente un SMS o una mail che contiene un codice di sei cifre da immettere in Facebook per reimpostare la password e accedere al proprio profilo.

Un aspirante intruso potrebbe in teoria attivare “Ho dimenticato la password” sull’account della vittima e poi tentare tutte le combinazioni possibili delle sei cifre del codice fino a trovarlo, ma Facebook limita il numero di tentativi. Anand Prakash si è accorto, però, che questo limite non c'era nei siti di test (come beta.facebook.com) e quindi era possibile tentare infinite volte fino a trovare il codice per prendere il controllo dell’account e ottenere accesso ai messaggi, ai dati delle carte di credito memorizzate, alle foto personali, eccetera.

Il ricercatore ha segnalato la falla a Facebook, che l’ha chiusa nel giro di un giorno il 23 febbraio scorso e ha  ricompensato Prakash con 15.000 dollari.


Fonte: The Hacker News

7 commenti:

Paolo Alberton ha detto...

Scusate l'ignoranza: perché dovrei salvare i dati della carta di credito nel profilo facebook?

Paolo Graziani ha detto...

Ma al di là della falla di Facebook (sulla versione beta, come descritto nel post) come ci si può proteggere da quelli che tentano di usare lo stesso sistema, "tentare tutte le combinazioni possibili delle sei cifre del codice fino a trovarlo", sulla versione normale, pur con i tentativi limitati a disposizione?
Ovviamente ci sono tutte le impostazioni di protezione e di privacy di Facebook da sistemare, ma fatto ciò.....se i tentativi continuano......che cosa si può fare?

MacLo ha detto...

15.000 dollari.. che miseri!!

MacLo ha detto...

@Paolo Alberton
Da 5 anni ho un lab di fotografia.. e:
TU NON SAI COSA TIENE LA GENTE IN FACEBOOK!!!
Lo usano come "backup foto" .. si hai capito.. e spesso cancellano le foto (anche dalle macchine fotografiche, non solo dai cell) perchè :" tanto sono su facebook"..

Stupidocane ha detto...

15.000 dollari... che barboni...

Perché i buoni non possono mai guadagnarci cifre commisurate alle falle che trovano?

Cioè, c'è gente che lavora mesi per qualche migliaio di euro con le truffe alla Nigeriana, o va avanti a colpi da centinaia di euro con i cryptolocker...

Uno che ha il potere di prendere possesso di tutti i profili FB e per averlo fatto notare torna a casa con un pugno di dollari è uno schiaffo alla miseria dei poveri terroristi e hacker che lavorano duro...

(commento sarcastico, ça va sans dire...)

Jotar ha detto...

@alberton
Probabilmente per fare acquisti on.line.

Paolo Alberton ha detto...

MacLo
E cosa ha a che fare con la carta di credito? Non ho capito il nesso.

Jotar
Quali acquisti? Si parla di giochi tipo free to play o acquisti veri e propri?