Facebook, quanto vale cancellare foto altrui
Topic
Approfondimenti
Trending
tutti

Facebook, quanto vale cancellare foto altrui

Un bug hunter indiano individua una vulnerabilità potenzialmente molto pericolosa nel codice di Facebook e fa rapporto. Diversamente da quanto successo nel recente passato, questa volta l'hacking vale più di 12mila dollari
Business
Un bug hunter indiano individua una vulnerabilità potenzialmente molto pericolosa nel codice di Facebook e fa rapporto. Diversamente da quanto successo nel recente passato, questa volta l'hacking vale più di 12mila dollari

Facebook ha consegnato un nuovo baco pericoloso all’archivio dei casi risolti grazie al lavoro di ricerca di Arul Kumar, 21enne ingegnere indiano con la passione per l'”hacking etico”. Il baco spiega Kumar, avrebbe potuto permettere a chiunque di cancellare le immagini dei contatti di Facebook – indipendentemente dal tipo di relazione esistente sul social network tra attaccante e vittima.

Alla base della nuova vulnerabilità di Facebook c’è la versione mobile della Dashboard di supporto, una funzionalità che permette a un utente del social network di tenere traccia di tutte le richieste inviate al sito. Attraverso la Dashboard passano anche le richieste di rimozione delle foto inviate a Facebook, ed è proprio qui che le cose cominciano a farsi pericolose.

Nel caso in cui la richiesta di rimozione venga respinta, Facebook dà la possibilità di scrivere direttamente all’utente interessato con una richiesta di rimozione “personale” senza interessamento diretto della corporation. Agendo sul codice dell’URL di questa richiesta, Kumar ha scoperto che è possibile cambiare due parametri fondamentali (“photo_id” e “Owners Profile_id”), e avere la facoltà di passare alla cancellazione di foto su cui non si dovrebbe – in teoria – avere il minimo controllo.

Anche qui come nel recente caso del bug-hunter palestinese Khalil Shreateh , la comunicazione con il team della sicurezza di Facebook si è rivelata essere inizialmente poco fruttuosa: Kumar ha dovuto inviare un paio di messaggi con la spiegazione precisa di baco ed exploit per vedersi riconosciuto il proprio lavoro di ricerca.

Diversamente dalla vulnerabilità individuata da Shreateh, però, quella dell’ingegnere indiano è stata valutata meritevole di premio in denaro con una taglia regolarmente pagata di 12.500 dollari. L’hacker palestinese si era comportato in maniera scorretta , mentre nel caso di Kumar è stata rispettata in pieno la policy di Facebook sulla responsible disclosure senza tentativi di hacking su profili “live” degli utenti del social network.

Alfonso Maruccia

Pubblicato il 4 set 2013

Link copiato negli appunti

Ti potrebbe interessare

Maestro: generatore di playlist per Amazon Music

Maestro: generatore di playlist per Amazon Music
Casa colpita da un detrito spaziale: NASA conferma

Casa colpita da un detrito spaziale: NASA conferma
Mars Sample Return: costi elevati, serve nuovo piano

Mars Sample Return: costi elevati, serve nuovo piano
DSA: poca trasparenza delle Big Tech sulla pubblicità

DSA: poca trasparenza delle Big Tech sulla pubblicità
Maestro: generatore di playlist per Amazon Music

Maestro: generatore di playlist per Amazon Music
Casa colpita da un detrito spaziale: NASA conferma

Casa colpita da un detrito spaziale: NASA conferma
Mars Sample Return: costi elevati, serve nuovo piano

Mars Sample Return: costi elevati, serve nuovo piano
DSA: poca trasparenza delle Big Tech sulla pubblicità

DSA: poca trasparenza delle Big Tech sulla pubblicità
Alfonso Maruccia
Pubblicato il
4 set 2013
Link copiato negli appunti