Facebook, risolto un grave bug degli account

Il ricercatore di sicurezza Anand Prakash ha scoperto una vulnerabilità su Facebook che poteva essere sfruttata dai malintenzionati per accedere a tutti gli account. Il bug in oggetto risulta essere correlato al sistema che consente di impostare nuovamente la password dimenticata attraverso un codice di sei cifre.

Nel dettaglio, se l’utente dimentica la password d’accesso al proprio account Facebook è possibile chiederne la reimpostazione, indicando l’indirizzo email o il numero di telefono associato. In tal modo Facebook va quindi ad inviare un PIN di sei cifre per permettere l’accesso provvisorio al social network e sceglie una nuova password. Per evitare che qualcuno tenti di indovinare il codice, l’accesso viene bloccato dopo circa 12 tentativi errati. Il ricercatore ha scoperto che questa protezione non è stata attivata sulle versioni beta del social network, quelle usate per testare le nuove funzionalità.

Tenendo conto del fatto che Facebook Beta è una copia esatta del Facebook principale, il ricercatore ha sviluppato un semplice script che prova tutte le diverse combinazioni finché non viene trovato il codice a sei cifre corretto.

Stando a quanto emerso un malintenzionato, conoscendo indirizzo email e numero di telefono della vittima, poteva dunque ottenere l’accesso a qualsiasi account ed eseguire qualsiasi operazione, dalla semplice lettura dei messaggi al furto dei dati della carta di credito usata per i pagamenti.

Facebook ha ricevuto la segnalazione a fine febbraio confermando il problema. Il team del social network numero uno al mondo ha poi provveduto a chiudere la vulnerabilità ed ha premiato Prakash con 15.000 dollari. Da notare inoltre che non è stato segnalato nessun exploit che sfrutta il bug.

Via | Softpedia