Cerca nel blog

2017/01/20

Falla (risolta) in Facebook frutta 40.000 dollari al suo scopritore

Capita spesso di parlare dei pericoli e delle falle di Internet e dei loro danni; capita meno spesso di poter raccontare di un pericolo scampato e sventato dietro le quinte. Ma stavolta si può fare: a ottobre del 2016 un informatico, Andrey Leonov, si è accorto che in Facebook era rimasto annidato un difetto in un componente usato da molti siti per la gestione delle immagini. Il difetto, chiamato dagli addetti ai lavori ImageTragick, stava causando grave scompiglio in tutta Internet, perché era sfruttabile da chiunque semplicemente inviando a un sito un’immagine appositamente confezionata.

In pratica, qualunque sito che consentisse agli utenti il caricamento di immagini poteva essere attaccato e in molti casi scardinato, prendendone il controllo. Ovviamente Facebook, essendo un social network basato proprio sul caricamento di immagini da parte degli utenti, era un bersaglio molto esposto e molto appetibile.

Leonov avrebbe potuto sfruttare la propria scoperta per attaccare Facebook, oppure venderla sul mercato nero del crimine informatico, come purtroppo fanno in molti, ma ha scelto un’altra strada: ha tenuto segreta la scoperta, condividendola soltanto con gli addetti alla sicurezza di Facebook. Il social network ha corretto la falla nel giro di tre giorni. Gli utenti, oltre un miliardo e mezzo in tutto il mondo, non si sono accorti di nulla.

Ê andata davvero bene, perché il difetto del componente usato da Facebook era noto pubblicamente da alcuni mesi e se un malintenzionato si fosse accorto, prima di Leonov, che il difetto era presente anche in Facebook avrebbe potuto prendere il controllo dei server del social network (i computer che ospitano i dati caricati e pubblicati dagli utenti) e manipolarli o cancellarli in massa. Sarebbe stato un disastro.

L’informatico ha mantenuto il riserbo sulla vicenda fino a pochi giorni fa, quando ne ha pubblicato i dettagli rivelando anche un ulteriore lieto fine molto particolare: una ricompensa di 40.000 dollari, datagli da Facebook una settimana dopo la risoluzione del problema per aver gestito in modo responsabile la scoperta della vulnerabilità, usando gli appositi canali di comunicazione.

Il social network di Zuckerberg non è l’unico sito che offre ricompense in denaro per chi segnala in modo sicuro e responsabile i difetti e le vulnerabilità (i cosiddetti bug bounty): lo fanno quasi tutti i principali siti e servizi di Internet, come Google, Apple e Microsoft. Ma ci sono molte aziende che preferiscono ignorare le segnalazioni e far finta di niente, mettendo così a rischio la sicurezza degli utenti. Di solito questo significa che dopo un lasso di tempo ragionevole la falla verrà resa pubblica oppure venduta ai criminali: in entrambi i casi le conseguenze saranno pesanti. E tutta questa guerra avviene quasi ogni giorno dietro le quinte di Internet.


Fonti aggiuntive: Graham Cluley.


Nessun commento: