La disattenzione di Facebook è stata determinante nel socchiudere al ricercatore di sicurezza indiano Anand Prakash un accesso a tutti i profili del social network: ad agevolarlo, la mancanza del meccanismo di sicurezza che limita a una manciata di tentativi l’inserimento di codici di reset.
Prakash ha messo alla prova il sistema di reset delle password di accesso a favore degli utenti smemorati, che consiste nell’invio, al numero di telefono o all’email di riferimento associati all’account, di un codice a sei cifre che l’utente inserirà come prova della propria identità per creare una nuova password. Genericamente, basti pensare al contesto del dibattuto caso in corso tra Apple e l’FBI, il sistema di inserimento del codice è protetto da una misura di sicurezza che limita i tentativi di inserimento, proprio per scongiurare abusi come quello che è riuscito al ricercatore indiano.
È possibile inserire una dozzina di volta il codice di recupero della password sul sito ordinario di Facebook, prima che la procedura venga bloccata: non si verificava altrettanto su beta.facebook.com , la versione del sito dedicata ai test degli sviluppatori. Chiunque sarebbe stato in grado di inserire un numero infinito di codici a sei cifre con un attacco a forza bruta, per guadagnare l’accesso a qualsiasi account e impostare una nuova password, ed è quello che ha dimostrato Prakash.
Il ricercatore ha prontamente segnalato a Menlo Park il problema e nel giro di un giorno il social network vi ha posto rimedio. Facebook ha riferito che il proprio sito dedicato agli sviluppatori ha prestato il fianco agli attacchi per 72 ore: il meccanismo che limita il numero di tentativi di inserimento era attivo prima di un aggiornamento che ha dato origine alla vulnerabilità.
Una decina di giorni dopo la segnalazione, il ricercatore indiano è stato ricompensato con 15mila dollari, sulla base del programma di taglie introdotto anni fa.
Gaia Bottà
Ti potrebbe interessare
9 mar 2016