50 milioni di utenti Facebook sono stati visitati da un hacker…

Set 29, 2018 Giancarlo Calzetta Attacchi, In evidenza, News, Privacy 0

La concatenazione di tre bug nel modulo di “vedi come” ha permesso a qualcuno di intrufolarsi in almeno 50 milioni di account, ma potrebbero essere di più

La funzione “vedi come” non è tra le più usate di Facebook e forse proprio per questo i tecnici del famoso social network sono riusciti a scoprire una vulnerabilità molto grave che permetteva a un pirata di controllare completamente un profilo del quale non era proprietario e del quale non aveva neanche la password né lo username.

In pratica, a causa di tre diversi bug contenuti nella funzione “vedi come”, un attaccante poteva ottenere il token d’accesso usato dal browser per ricordare la login dell’utente. Questo significa che il pirata veniva riconosciuto esattamente come l’utente proprietario dell’account attaccato, potendone gestire ogni aspetto che non richiedesse l’inserimento della password.
Questo è un dettaglio molto importante. Nonostante la falla fosse molto grave, per quel che si è visto finora (e per le dinamiche che si sono viste coinvolte) è praticamente certo che chi ha sfruttato questa falla non ha avuto modo di rubare le password degli account che violava.

Facebook è corsa ai ripari e ha eliminato la falla, bloccando in via precauzionale anche la funzione “vedi come”, che dava la possibilità agli utenti di vedere i propri post e la propria pagina come la vedeva uno dei propri “amici”. In questo modo, quando si impostavano delle restrizioni a qualcuno dei nostri conoscenti, era possibile andare a controllare come effettivamente si presentava la nostra pagina Facebook agli occhi di chi avevamo deciso di limitare.

Purtroppo, a causa di quei bug non si finiva solo per avere visione di come l’utente che impersonavamo poteva visualizzare i nostri contenuti, ma finivamo per ottenere anche il suo token di login, che poteva poi essere usato via browser per accedere all’account senza inserire username e password.

E qui iniziano le cose inquietanti. Da quanto si è capito finora, l’attacco partiva da un account e si estendeva a tutti i suoi amici, per poi espandersi ancora agli amici degli amici. Arrivare a un bersaglio ben definito, quindi, è piuttosto complicato e laborioso. Ma qualcuno aveva iniziato a usare in massa questo sistema per navigare e raccogliere dati sui vari account.
Questo qualcuno, inoltre, dev’essere una persona che ha trovato il modo di racimolare più denaro ficcanasando nei profili violati piuttosto che segnalando il bug a Facebook, la quale avrebbe probabilmente erogato il premio più alto disponibile, quello da 30.000 dollari.

Chi è, quindi, che è riuscito a sfruttare in massa una vulnerabilità creata dalla concatenazione di tre bug, tutti appartenenti a una funzione poco usata, per poi investire ore e denaro nel trasformarla in una raccolta dati? C’è chi punta il dito su di uno stato canaglia, ma la verità è che è ancora troppo presto per saperne qualcosa. Facebook, infatti, ci fa sapere che le indagini sono appena iniziate e che ci vorranno diversi giorni prima di avere un quadro più chiaro.

Poteva il Social Network per eccellenza scoprire questa falla prima che venisse usata su larga scala? Ovviamente sì. Non era semplice pensarci, ma neanche così difficile perché tutti i servizi di grandi dimensioni, al giorno d’oggi, dovrebbero avere un sistema di controllo degli IP dai quali ci si collega. Se un utente ha il proprio token attivato in un’area geografica e poi, magicamente, riappare in contemporanea o in breve tempo in un altro continente, una flag dovrebbe alzarsi.

C’è da dire che “larga scala” quando si parla di Facebook è relativo. Per il colosso dei social network, 50 milioni sono una parte minima della sua base di utenti che ha superato i due miliardi di account.

Cosa dobbiamo fare per proteggerci? Nulla. Facebook ha già risolto semplicemente forzando il logout degli account affetti. Dal momento che i pirati non hanno potuto rubare le password, non serve neanche cambiarla (in teoria, ma fatelo lo stesso).

Ricordiamoci, però, quello che invece i pirati potevano fare: vedere tutti i nostri post, postare in nostra vece, mandare messaggi privati, caricare o scaricare foto a prescindere dalle impostazioni di privacy e così via.

Condividi l'articolo