Gaia Bottà

Facebook chiude la porta d'accesso a ogni account

Vale 15mila dollari la segnalazione di un bug che consentiva di sfruttare il meccanismo di reset delle password per forzare l'accesso a qualsiasi profilo

Roma - La disattenzione di Facebook è stata determinante nel socchiudere al ricercatore di sicurezza indiano Anand Prakash un accesso a tutti i profili del social network: ad agevolarlo, la mancanza del meccanismo di sicurezza che limita a una manciata di tentativi l'inserimento di codici di reset.


Prakash ha messo alla prova il sistema di reset delle password di accesso a favore degli utenti smemorati, che consiste nell'invio, al numero di telefono o all'email di riferimento associati all'account, di un codice a sei cifre che l'utente inserirà come prova della propria identità per creare una nuova password. Genericamente, basti pensare al contesto del dibattuto caso in corso tra Apple e l'FBI, il sistema di inserimento del codice è protetto da una misura di sicurezza che limita i tentativi di inserimento, proprio per scongiurare abusi come quello che è riuscito al ricercatore indiano.

È possibile inserire una dozzina di volta il codice di recupero della password sul sito ordinario di Facebook, prima che la procedura venga bloccata: non si verificava altrettanto su beta.facebook.com, la versione del sito dedicata ai test degli sviluppatori. Chiunque sarebbe stato in grado di inserire un numero infinito di codici a sei cifre con un attacco a forza bruta, per guadagnare l'accesso a qualsiasi account e impostare una nuova password, ed è quello che ha dimostrato Prakash.
Il ricercatore ha prontamente segnalato a Menlo Park il problema e nel giro di un giorno il social network vi ha posto rimedio. Facebook ha riferito che il proprio sito dedicato agli sviluppatori ha prestato il fianco agli attacchi per 72 ore: il meccanismo che limita il numero di tentativi di inserimento era attivo prima di un aggiornamento che ha dato origine alla vulnerabilità.
Una decina di giorni dopo la segnalazione, il ricercatore indiano è stato ricompensato con 15mila dollari, sulla base del programma di taglie introdotto anni fa.

Gaia Bottà
Notizie collegate
4 Commenti alla Notizia Facebook chiude la porta d'accesso a ogni account
Ordina
  • C'è un problema con FakeBook: nessun operatore umano a controllare i tentativi di accesso non autorizzati.
    FB crede di avere un IA a prova di bomba, in realtà si iscrivono personaggi con nomi di fantasia e vengono lasciati fuori gli utenti con nomi veri.
    Una semplice ricerca di pochi secondi (non minuti) basterebbe a scremare gli accessi, ma FB non ha le risorse umane, evidentemente.
    non+autenticato
  • ovviamente tutti i complimenti all'indiano che ha trovato la falla!
    io nemmeno sapevo dell'esistenza di facebook beta

    ma mi viene da pensare perché facebook sta testando un qualcosa che permetta il brute force sulla password? e soprattuto è normale che sul sito beta si testi con i dati veri?
    non+autenticato
  • - Scritto da: bejelit
    > ovviamente tutti i complimenti all'indiano che ha
    > trovato la
    > falla!
    > io nemmeno sapevo dell'esistenza di facebook beta
    >
    > ma mi viene da pensare perché facebook sta
    > testando un qualcosa che permetta il brute force
    > sulla password? e soprattuto è normale che sul
    > sito beta si testi con i dati
    > veri?

    facebook ha un parco bestiame che supera il miliardo, sei che gliene importa si sacricarne qualche centinaio...
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: bejelit
    > > ovviamente tutti i complimenti all'indiano che
    > ha
    > > trovato la
    > > falla!
    > > io nemmeno sapevo dell'esistenza di facebook
    > beta
    > >
    > > ma mi viene da pensare perché facebook sta
    > > testando un qualcosa che permetta il brute force
    > > sulla password? e soprattuto è normale che sul
    > > sito beta si testi con i dati
    > > veri?
    >
    > facebook ha un parco bestiame che supera il
    > miliardo, sei che gliene importa si sacricarne
    > qualche
    > centinaio...

    Ma si.. meritano di essere macellate.
    non+autenticato