Vulnerabilità Facebook: una nuova falla ha messo a rischio i dati degli utenti
I ricercatori di Imperva hanno scoperto un bug nello strumento di ricerca di Facebook che consentiva agli hacker di visualizzare le attività degli utenti sulla piattaforma.
Un ulteriore, grave, problema si è presentato alle porte di casa Facebook. Ancora una volta, il problema ha a che fare con la privacy degli utenti della piattaforma, ignari della vulnerabilità dei loro dati: la compagnia di sicurezza Imperva ha fornito dettagli su una vulnerabilità che avrebbe permesso ad alcuni siti di ottenere informazioni private sugli utenti, sfruttando un accesso non autorizzato a un’API. Comunicata a Facebook da parecchi mesi, la falla è stata corretta definitivamente già nel maggio scorso.
Falla nella sicurezza di Facebook, i dettagli
Ron Masas, ricercatore nel campo della sicurezza presso Imperva, ha scoperto che la funzione e i risultati di ricerca su Facebook erano vulnerabili agli attacchi CSRF (cross-site request forgery), che sfruttano l’accesso di un utente a un servizio per eseguire attività indesiderate sul proprio browser.
In sostanza, l’utente che effettua l’accesso a Facebook su un browser e apre anche una pagina web di un sito dannoso da un’altra scheda di navigazione dello stesso browser, può incorrere nel rischio che quella pagina dannosa possa sottrarre informazioni circa le sue attività su Facebook (Mi piace, commenti…).
Dati e informazioni accessibili ai siti web
Come ha dimostrato Masas, prima che in Facebook venisse risolta la falla, un sito malintenzionato avrebbe potuto incorporare un IFRAME – un tag utilizzato per mostrare il contenuto di un sito in una seconda pagina – e attingere alle informazioni del profilo.
Un potenziale attaccante avrebbe potuto aprire una pagina di ricerca ed effettuare qualsiasi ricerca, recuperando con estrema facilità i dati dell’utente e quello dei suoi amici. Imperva ha fornito alcuni esempi dei possibili dati ottenuti in maniera illecita: post contenenti un testo specifico, foto scattate in un determinato Paese, like a compagnie o particolari pagine e molto altro.
In questo modo, dunque, è stato possibile ottenere informazioni che le impostazioni relative alla privacy avrebbero dovuto tenere riservate. La vulnerabilità, secondo quanto sostiene Facebook, potrebbe accadere anche con altri siti e secondo le ricerche effettuate non ha portato alla perdita di alcun dato.
Il colosso dei social network afferma di aver già contattato gli sviluppatori dei principali browser affinché effettuino gli opportuni interventi che possano prevenire il ripetersi di simili problemi nelle web app. Sembra dunque scongiurato un nuovo caso Cambridge Analytica, quando i dati di milioni di utenti sono stati utilizzati in maniera fraudolenta.