Cerca nel blog

2016/03/18

C’era un modo per vedere tutti i dati privati di tutti gli utenti di Facebook

Un ricercatore di sicurezza indiano, Anand Prakash, ha scoperto che esisteva un modo per entrare in qualunque account Facebook. Ma niente panico: Anand è uno dei buoni e il difetto è stato risolto.

Il ricercatore ha pubblicato la spiegazione del metodo e ne ha anche creato un video: in sintesi, si sfruttava la funzione “Ho dimenticato la password” di Facebook che manda all’utente un SMS o una mail che contiene un codice di sei cifre da immettere in Facebook per reimpostare la password e accedere al proprio profilo.

Un aspirante intruso potrebbe in teoria attivare “Ho dimenticato la password” sull’account della vittima e poi tentare tutte le combinazioni possibili delle sei cifre del codice fino a trovarlo, ma Facebook limita il numero di tentativi. Anand Prakash si è accorto, però, che questo limite non c'era nei siti di test (come beta.facebook.com) e quindi era possibile tentare infinite volte fino a trovare il codice per prendere il controllo dell’account e ottenere accesso ai messaggi, ai dati delle carte di credito memorizzate, alle foto personali, eccetera.

Il ricercatore ha segnalato la falla a Facebook, che l’ha chiusa nel giro di un giorno il 23 febbraio scorso e ha  ricompensato Prakash con 15.000 dollari.


Fonte: The Hacker News

Nessun commento: