QR code per la pagina originale

Facebook risolve un grave bug negli account

Un bug scoperto nelle versioni beta di Facebook consentiva di resettare la password di qualsiasi account, utilizzando il codice a sei cifre inviato via SMS.

,

Un ricercatore di sicurezza, Anand Prakash, ha scoperto una vulnerabilità sul social network che poteva essere sfruttata per accedere a tutti gli account. Il bug è correlato al sistema che permette di reimpostare la password dimenticata attraverso un codice di sei cifre. Facebook ha ricevuto la segnalazione a fine febbraio, confermando il problema. L’azienda di Menlo Park ha chiuso la vulnerabilità e premiato Prakash con 15.000 dollari.

Se l’utente dimentica la password è possibile chiedere la sua reimpostazione, indicando l’indirizzo email o il numero di telefono associato all’account. Facebook invierà quindi un PIN di sei cifre per consentire l’accesso provvisorio al social network e scegliere una nuova password. Per evitare che qualcuno tenti di indovinare il codice, l’accesso viene bloccato dopo 10-12 tentativi errati. Il ricercatore ha scoperto che questa protezione contro il “brute force” non è stata attivata sulle versioni beta del social network (beta.facebook.com e mbasic.beta.facebook.com), usate per testare le nuove funzionalità.

Dato che Facebook Beta è una copia esatta del Facebook principale, Prakash ha sviluppato un semplice script che prova tutte le diverse combinazioni finché non viene trovato il codice a sei cifre corretto. Un malintenzionato poteva quindi ottenere l’accesso a qualsiasi account ed eseguire qualsiasi operazione, dalla semplice lettura dei messaggi al furto dei dati della carta di credito usata per i pagamenti. Ovviamente ciò è possibile solo se si conoscono l’indirizzo email o il numero di telefono della vittima.

La vulnerabilità è piuttosto banale, quindi il premio di 15.000 dollari sembra troppo elevato. In realtà, il programma White Hat di Facebook considera il rischio e l’impatto sugli utenti. Fortunatamente non è stato segnalato nessun exploit che sfrutta il bug.

Fonte: Anand Prakash • Via: Softpedia • Notizie su: , ,
Commenta e partecipa alle discussioni