Claudio Tamburrino

Facebook tradisce col telefono

Una falla nel sistema di ricerca interno al social network permette di raccogliere facilmente i dati di coloro che hanno collegato il proprio numero di telefono all'account

Roma - Attraverso un bug di Facebook è possibile ottenere grandi quantità di informazioni personali relative a quegli utenti che hanno legato l'account sul social network ad un numero di telefono.

A scoprire l'errore presente nelle impostazioni di ricerca di Facebook è stato il ricercatore di sicurezza Reza Moaiandin: per quanto poco nota, tra le opzioni di privacy del social network ce n'è una che permette di individuare un account personale attraverso il numero di telefono del device eventualmente ad esso collegato.

Il problema è generato dalla convergenza di due questioni apparentemente disgiunte: la possibilità di collegare il proprio account ad un determinato numero di telefono per alcune funzioni, in particolare di Messenger, e la non corrispondenza tra la volontà di tener nascosta tale informazione sensibile e la scelta di poter essere trovato da chiunque.
In pratica se nelle impostazioni un utente ha scelto di rendere l'esistenza del proprio profilo pubblica e non circoscritta a determinate condizioni (per esempio l'esistenza di contatti comuni tra chi effettua la ricerca e il profilo ricercato), una query sul social network può portare al proprio account e conseguentemente alle informazioni da esso fornite anche attraverso il proprio numero di telefono ed anche se l'utente aveva scelto di tenerlo nascosto.

Attraverso tale impostazione errata - dunque - è possibile racimolare numerose informazioni sugli utenti Facebook: utilizzando un semplice algoritmo si possono generare numeri di telefono e con un semplice script che sfrutta le stesse API del sito in blu è possibile verificare eventuali account Facebook ad essi collegati. Risalendo, quindi, subito ai nomi dei relativi titolari e alle altre informazioni condivise sul social network e impostate come "pubbliche".

Per quanto Reza Moaiandin abbia provato a notificare a Facebook il problema, i responsabili del social network che gli hanno risposto hanno inizialmente avuto difficoltà a riprodurre la problematica individuata e ad una seconda segnalazione hanno riferito essersi messi all'opera per rimediare alla situazione, non considerandola tuttavia una questione di sicurezza.

Claudio Tamburrino
Notizie collegate
5 Commenti alla Notizia Facebook tradisce col telefono
Ordina
  • Ogni tre per due Facebook chiede agli utenti che ancora non lo hanno fatto, di aggiungere un numero di telefono "per la tua sicurezza".

    Non avete capito.. io proprio per la mia sicurezza non mi ci iscrivo nemmeno....
  • foreach(string numeroCasuale in generaNumeriCasuali()) {
        ProfiloFacebook profilo = Facebook.Query(numeroCasuale);

        if (profilo.Genere == DONNA && profilo.Eta < PARAM_SOGLIA && profilo.StatusRelazione == SINGLE)
            Database.Salva(profilo.Nome + " " + profilo.Cognome,numeroCasuale);
    }


    Ovviamente per ragioni di "sicurezza" non fornirò l'implementazione della funzione generaNumeriCasuali hahahaha
  • - Scritto da: djechelon
    > foreach(string numeroCasuale in
    > generaNumeriCasuali())
    > {
    >     ProfiloFacebook profilo =
    > Facebook.Query(numeroCasuale);
    >
    >     if (profilo.Genere == DONNA && profilo.Eta <
    > PARAM_SOGLIA && profilo.StatusRelazione ==
    > SINGLE)
    >         Database.Salva(profilo.Nome + " " +
    > profilo.Cognome,numeroCasuale);
    > }
    >
    >
    > Ovviamente per ragioni di "sicurezza" non fornirò
    > l'implementazione della funzione
    > generaNumeriCasuali
    > hahahaha
    e la funzione di rip delle foto dov'e'? mica vorrai archiviare le anche le cozze...Sorride
    non+autenticato
  • - Scritto da: djechelon
    > foreach(string numeroCasuale in
    > generaNumeriCasuali())
    > {
    >     ProfiloFacebook profilo =
    > Facebook.Query(numeroCasuale);
    >
    >     if (profilo.Genere == DONNA && profilo.Eta <
    > PARAM_SOGLIA && profilo.StatusRelazione ==
    > SINGLE)
    >         Database.Salva(profilo.Nome + " " +
    > profilo.Cognome,numeroCasuale);
    > }
    >
    >
    > Ovviamente per ragioni di "sicurezza" non fornirò
    > l'implementazione della funzione
    > generaNumeriCasuali
    > hahahaha

    Si, ma perche' chiamarlo numeroCasuale se e' di tipo string?
  • ma no, il facebook *uid è un bigint
    -----------------------------------------------------------
    Modificato dall' autore il 12 agosto 2015 13.34
    -----------------------------------------------------------