A mezzanotte del 2 novembre scorso, una nuova, inquietante falla ha colpito Facebook. Il social network è stato infatti irraggiungibile per più di un'ora. La BBC ha ha diffuso la notizia di un bug in grado di far bypassare l'inserimento della password a eventuali malintenzionati, ottenendo così la possibilità di entrare comodamente in un account altrui.
Il problema è emerso a seguito di un messaggio postato su Hacker News: al suo interno, una stringa di ricerca che se inserita su Google avrebbe permesso di ricevere una lista di link diretti a 1,32 milioni di account Facebook. Una parte di tali collegamenti permetteva di effettuare il login diretto senza nemmeno la necessità d'inserire la password dell'utente.
Il link ottenibile con la ricerca era quello contenuto nelle email inviate da Facebook agli utenti in caso di aggiornamenti e notifiche, dove infatti si offre la possibilità di rispondere velocemente cliccando per effettuare il login. Il security engineer di Facebook, Matt Jones, ha spiegato che questo tipo di link vengono tipicamente inviati solo via email e possono essere inoltre usati un'unica volta, dichiarando:
"Per far sì che un motore di ricerca arrivi a questi link, il contenuto delle email deve essere stato postato online. In ogni caso, a causa della pubblicazione di questi link, abbiamo disattivato la funzionalità fino a quanto non potremo assicurare la sua sicurezza per gli utenti le cui email sono pubblicamente visibili."
Nessun commento:
Posta un commento