Aggiornamenti recenti Novembre 21st, 2024 8:55 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Come playlist e podcast su Spotify promuovono software pirata
- Google scopre 26 nuove vulnerabilità con l’IA di OSS-Fuzz
- Una grave data breach ha colpito le aziende statunitensi di telecomunicazioni
- Scoperta una nuova variante del ransomware Helldown che colpisce Linux
- Una vulnerabilità di un plugin di WordPress mette a rischio più di 4 milioni di siti
50 milioni di utenti Facebook sono stati visitati da un hacker…
La concatenazione di tre bug nel modulo di “vedi come” ha permesso a qualcuno di intrufolarsi in almeno 50 milioni di account, ma potrebbero essere di più
La funzione “vedi come” non è tra le più usate di Facebook e forse proprio per questo i tecnici del famoso social network sono riusciti a scoprire una vulnerabilità molto grave che permetteva a un pirata di controllare completamente un profilo del quale non era proprietario e del quale non aveva neanche la password né lo username.
In pratica, a causa di tre diversi bug contenuti nella funzione “vedi come”, un attaccante poteva ottenere il token d’accesso usato dal browser per ricordare la login dell’utente. Questo significa che il pirata veniva riconosciuto esattamente come l’utente proprietario dell’account attaccato, potendone gestire ogni aspetto che non richiedesse l’inserimento della password.
Questo è un dettaglio molto importante. Nonostante la falla fosse molto grave, per quel che si è visto finora (e per le dinamiche che si sono viste coinvolte) è praticamente certo che chi ha sfruttato questa falla non ha avuto modo di rubare le password degli account che violava.
Facebook è corsa ai ripari e ha eliminato la falla, bloccando in via precauzionale anche la funzione “vedi come”, che dava la possibilità agli utenti di vedere i propri post e la propria pagina come la vedeva uno dei propri “amici”. In questo modo, quando si impostavano delle restrizioni a qualcuno dei nostri conoscenti, era possibile andare a controllare come effettivamente si presentava la nostra pagina Facebook agli occhi di chi avevamo deciso di limitare.
Purtroppo, a causa di quei bug non si finiva solo per avere visione di come l’utente che impersonavamo poteva visualizzare i nostri contenuti, ma finivamo per ottenere anche il suo token di login, che poteva poi essere usato via browser per accedere all’account senza inserire username e password.
E qui iniziano le cose inquietanti. Da quanto si è capito finora, l’attacco partiva da un account e si estendeva a tutti i suoi amici, per poi espandersi ancora agli amici degli amici. Arrivare a un bersaglio ben definito, quindi, è piuttosto complicato e laborioso. Ma qualcuno aveva iniziato a usare in massa questo sistema per navigare e raccogliere dati sui vari account.
Questo qualcuno, inoltre, dev’essere una persona che ha trovato il modo di racimolare più denaro ficcanasando nei profili violati piuttosto che segnalando il bug a Facebook, la quale avrebbe probabilmente erogato il premio più alto disponibile, quello da 30.000 dollari.
Chi è, quindi, che è riuscito a sfruttare in massa una vulnerabilità creata dalla concatenazione di tre bug, tutti appartenenti a una funzione poco usata, per poi investire ore e denaro nel trasformarla in una raccolta dati? C’è chi punta il dito su di uno stato canaglia, ma la verità è che è ancora troppo presto per saperne qualcosa. Facebook, infatti, ci fa sapere che le indagini sono appena iniziate e che ci vorranno diversi giorni prima di avere un quadro più chiaro.
Poteva il Social Network per eccellenza scoprire questa falla prima che venisse usata su larga scala? Ovviamente sì. Non era semplice pensarci, ma neanche così difficile perché tutti i servizi di grandi dimensioni, al giorno d’oggi, dovrebbero avere un sistema di controllo degli IP dai quali ci si collega. Se un utente ha il proprio token attivato in un’area geografica e poi, magicamente, riappare in contemporanea o in breve tempo in un altro continente, una flag dovrebbe alzarsi.
C’è da dire che “larga scala” quando si parla di Facebook è relativo. Per il colosso dei social network, 50 milioni sono una parte minima della sua base di utenti che ha superato i due miliardi di account.
Cosa dobbiamo fare per proteggerci? Nulla. Facebook ha già risolto semplicemente forzando il logout degli account affetti. Dal momento che i pirati non hanno potuto rubare le password, non serve neanche cambiarla (in teoria, ma fatelo lo stesso).
Ricordiamoci, però, quello che invece i pirati potevano fare: vedere tutti i nostri post, postare in nostra vece, mandare messaggi privati, caricare o scaricare foto a prescindere dalle impostazioni di privacy e così via.
Condividi l'articolo
Un bug permette di aggirare il blocco di iOS e accedere a foto e contatti
Ecco il primo rootkit per UEFI. Si chiama Lojax e lo usa Fancy Bear
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove... -
Aumentano le compromissioni di account email delle forze... L’FBI ha lanciato un allarme: stando a un avviso... -
Scoperta CRON#TRAP, campagna che emula ambienti Linux per... I ricercatori di Securonix hanno scoperto CRON#TRAP, una... -
Report APT ESET: i gruppi filo-cinesi e iraniani... Le minacce APT sono in aumento e in molti casi stanno... -
Kaspersky ha collaborato a Synergia II, operazione... Kaspersky ha collaborato a Synergia II, operazione...
Minacce recenti
Off topic
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul... -
In Microsoft le paghe dei manager dipenderanno dal livello... L’ultimo non è stato un buon anno per Microsoft:...
Post recenti
-
Come playlist e podcast su Spotify promuovono software... Playlist e podcast sono l’esca ideale per attirare ignari... -
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove...
-
Una grave data breach ha colpito le aziende statunitensi di... Una campagna di spionaggio a opera di hacker cinesi ha... -
Scoperta una nuova variante del ransomware Helldown che... I ricercatori di Sekoia hanno individuato una nuova... -
Una vulnerabilità di un plugin di WordPress mette a... István Márton, ricercatore di Wordfence, ha individuato...
Ransomware: la serie
No posts found.
