Facebook: 90 milioni di account a rischio vulnerabilità

A causa di una falla in una funzionalità di Facebook, 90 milioni di account in tutto il mondo sono a rischio vulnerabilità da parte di hacker.

Facebook dimostra ancora una volta di avere un grave problema di vulnerabilità. In questi giorni circa 50 milioni di account sono stati violati da un account hacker, ma l’intervento di sicurezza ha coinvolto in tutto 90 milioni di utenti a cui è stato richiesto preventivamente di rifare l’accesso al proprio account. L’azienda ha ufficializzato una falla di sicurezza dopo che il 25 settembre i propri esperti informatici hanno rilevato un buco nella funzione “Visualizza come” che permette di vedere come appare il proprio profilo agli occhi di un’altra persona iscritta al social.

Questa vulnerabilità permetteva di poter essere sfrutta per accedere all’account dell’altra persona, come ha spiegato Pedro Canahuati, vice presidente della divisione Ingegneria, Sicurezza e Privacy di Facebook. Il bug si trovata all’interno del sistema, introdotto a luglio 2017, che permetteva di caricare un video sul profilo di un’altra persona per augurarle buon compleanno. Canahuati ha evidenziato:

“Quando il video uploader appariva come parte del Visualizza come, generava un token di accesso non per te, ma per la persona che stavi usando per vedere il tuo profilo. È stata la combinazione di questi tre bug a diventare una vulnerabilità: usando la funzione Visualizza come per vedere il tuo profilo come se fossi un tuo amico, il codice non rimuoveva il componente che permetteva alle persone di augurarti buon compleanno; il video uploader, a quel punto, generava un token di accesso quando non avrebbe dovuto e quando tale token di accesso veniva generato, non era per te, bensì per la persona che stavi cercando”.

A 90 milioni di utenti è stato rimosso il token di accesso e richiesto di inserire nuovamente le credenziali per entrare nell’applicazione di Facebook. Chiunque abbia usato tale falla, però, poteva rubare il token di accesso, che viene usato in modo che l’utente non debba inserire nuovamente le credenziali ogni qualvolta accede all’applicazione, di un’altra persona.

Facebook ha dichiarato di non sapere se gli account siano stati compromessi e Guy Rosen, vice presidente del reparto Product Management, ha affermato:

“Poiché abbiamo appena iniziato la nostra indagine, dobbiamo ancora determinare se questi account siano stati abusati o se sia stata rubata qualche informazione. Non sappiamo, inoltre, chi ci sia dietro a questi attacchi né da dove provengano”.

Nel frattempo la funzione Visualizza come è stata disattivata, nonostante il “crediamo di aver sistemato il problema”, ha sottolineato il co-fondatore di Facebook Mark Zuckerberg con un post sul social network.