skip to main | skip to sidebar
4 commenti

Falla (risolta) in Facebook frutta 40.000 dollari al suo scopritore

Capita spesso di parlare dei pericoli e delle falle di Internet e dei loro danni; capita meno spesso di poter raccontare di un pericolo scampato e sventato dietro le quinte. Ma stavolta si può fare: a ottobre del 2016 un informatico, Andrey Leonov, si è accorto che in Facebook era rimasto annidato un difetto in un componente usato da molti siti per la gestione delle immagini. Il difetto, chiamato dagli addetti ai lavori ImageTragick, stava causando grave scompiglio in tutta Internet, perché era sfruttabile da chiunque semplicemente inviando a un sito un’immagine appositamente confezionata.

In pratica, qualunque sito che consentisse agli utenti il caricamento di immagini poteva essere attaccato e in molti casi scardinato, prendendone il controllo. Ovviamente Facebook, essendo un social network basato proprio sul caricamento di immagini da parte degli utenti, era un bersaglio molto esposto e molto appetibile.

Leonov avrebbe potuto sfruttare la propria scoperta per attaccare Facebook, oppure venderla sul mercato nero del crimine informatico, come purtroppo fanno in molti, ma ha scelto un’altra strada: ha tenuto segreta la scoperta, condividendola soltanto con gli addetti alla sicurezza di Facebook. Il social network ha corretto la falla nel giro di tre giorni. Gli utenti, oltre un miliardo e mezzo in tutto il mondo, non si sono accorti di nulla.

Ê andata davvero bene, perché il difetto del componente usato da Facebook era noto pubblicamente da alcuni mesi e se un malintenzionato si fosse accorto, prima di Leonov, che il difetto era presente anche in Facebook avrebbe potuto prendere il controllo dei server del social network (i computer che ospitano i dati caricati e pubblicati dagli utenti) e manipolarli o cancellarli in massa. Sarebbe stato un disastro.

L’informatico ha mantenuto il riserbo sulla vicenda fino a pochi giorni fa, quando ne ha pubblicato i dettagli rivelando anche un ulteriore lieto fine molto particolare: una ricompensa di 40.000 dollari, datagli da Facebook una settimana dopo la risoluzione del problema per aver gestito in modo responsabile la scoperta della vulnerabilità, usando gli appositi canali di comunicazione.

Il social network di Zuckerberg non è l’unico sito che offre ricompense in denaro per chi segnala in modo sicuro e responsabile i difetti e le vulnerabilità (i cosiddetti bug bounty): lo fanno quasi tutti i principali siti e servizi di Internet, come Google, Apple e Microsoft. Ma ci sono molte aziende che preferiscono ignorare le segnalazioni e far finta di niente, mettendo così a rischio la sicurezza degli utenti. Di solito questo significa che dopo un lasso di tempo ragionevole la falla verrà resa pubblica oppure venduta ai criminali: in entrambi i casi le conseguenze saranno pesanti. E tutta questa guerra avviene quasi ogni giorno dietro le quinte di Internet.


Fonti aggiuntive: Graham Cluley.


Invia un commento
I commenti non appaiono subito, devono essere tutti approvati manualmente da un moderatore a sua discrezione: è scomodo, ma è necessario per mantenere la qualità dei commenti e tenere a bada scocciatori, spammer, troll e stupidi.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui e/o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (4)
tenuto conto del danno potenziale sventato forse zuck poteva essere un po' meno tirchio :-)
Se la falla era nota da mesi e vista la popolarità di Facebook, è ragionevole supporre che qualcuno non l'abbia già sfruttata silenziosamente e abbia compromesso i server di Facebook per poter attingere liberamente ai dati che contengono?
Francamente non è la prima volta che a fronte di una segnalazione che potenzialmente ha evitato danni per milioni, si riceve una magra ricompensa. Io sinceramente, non mi vergogno a dirlo, piuttosto che 40 mila dollari vendo la falla al miglior offerente e dono i soldi i beneficenza. Chi se ne importa se poi qualcuno arreca danno a Facebook, non è nè una struttura pubblica nè una struttura critica. E poi hanno le spalle larghe.
Diego Favareto,

Chi se ne importa se poi qualcuno arreca danno a Facebook, non è nè una struttura pubblica nè una struttura critica. E poi hanno le spalle larghe.

Già, ma gli utenti? La nonna che perde tutte le foto del nipotino e i contatti con gli amici? Il ristorante che perde i clienti perché la sua pagina Facebook è stata cancellata?

Come al solito, le grandi aziende rimbalzano, ma chi resta fregato è l'utente. Forse non ci hai pensato.