Facebook: Risolto un grave bug in grado di resettare la password di qualsiasi account.


Di recente Anand Prakash, un noto ricercatore di sicurezza, ha annunciato di aver scoperto una vulnerabilità all'interno di Facebook che può essere sfruttata per accedere a qualsiasi account, in quanto correlato al sistema che permette di reimpostare la password dimenticata attraverso un codice di 6 cifre. In pratica, come noto, quando un utente del Social Network in Blu dimentica la propria password può chiederne la reimpostazione, indicando l'indirizzo e-mail oppure il numero di telefono associato all'account: Facebook invierà, appunto, un PIN di 6 cifre per consentire l'accesso provvisorio al sito e scegliere una nuova password. Inoltre per evitare che qualcuno tenti di indovinare questo codice, l'accesso viene bloccato dopo 10-12 tentativi errati. Tuttavia il suddetto ricercatore ha scoperto che questa protezione contro il cosiddetto "brute force" non è stata attivata sulle versioni beta del Social Network, (ovvero quelle che possono essere raggiunte tramite i link: beta.facebook.com e mbasic.beta.facebook.com), usate per testare le nuove funzionalità in anteprima. Ad ogni modo, considerato che Facebook Beta è una copia esatta del Facebook principale, Anand Prakash è riuscito a sviluppare un semplice script che prova tutte le diverse combinazioni finché non vengono trovate le 6 cifre corrette. Dunque un qualsiasi malintenzionato con un po' di esperienza in programmazione poteva ottenere l'accesso a qualsiasi account ed eseguire qualsiasi operazione, (dalla semplice lettura dei messaggi al furto dei dati della carta di credito usata per i pagamenti). Naturalmente, c'è da dire che tutto ciò è possibile solo se si conoscono l'indirizzo e-mail oppure il numero di telefono della vittima. O forse bisogna dire era possibile, in quanto Facebook ha ricevuto la segnalazione a fine Febbraio, (confermando il problema), e si è messo subito al lavoro, riuscendo a chiudere la vulnerabilità in questione e premiando Anand Prakash con 15.000 dollari. Tuttavia, data la semplicità di tale bug, qualcuno potrebbe affermare che questo premio in denaro potrebbe essere stato troppo elevato, ma in realtà va detto che il programma White Hat di Facebook ha considerato il rischio e l'impatto che questa vulnerabilità avrebbe potuto avere sugli utenti. Comunque sia attualmente non è stato fortunatamente segnalato nessun sistema che possa sfruttare ancora il bug in questione e quindi il tutto sembra essere stato, infine, risolto.

Di seguito un video esempio pubblicato da Anand Prakash:

Commenti