Il ricercatore belga Inti De Ceukelaire ha scovato un problema dalle conseguenze preoccupanti nel modo in cui Facebook gestisce i link condivisi dagli utenti, con gli URL che a quanto pare sono destinati a diventare di pubblico dominio anche se gli utenti li hanno condivisi attraverso una conversazione privata della app Messenger .
La “vulnerabilità” si trova all’interno della API Graph di Facebook , anche se a quanto pare non si tratta affatto di una falla ma di una vera e propria funzionalità dedicata agli sviluppatori: le query di accesso alla API possono essere condotte con identificativi casuali per individuare gli URL condivisi in privato dagli utenti.
La spiegazione di Facebook al lavoro di ricerca di De Ceukelaire – che partecipava al programma di caccia ai bug finanziato dal social network – ha ribaltato il problema: ogni volta che un utente condivide un URL, il servizio assegna un identificativo all’oggetto e lo archivia all’interno del suo database.
Il database può essere poi interrogato pubblicamente tramite Graph , ha riferito ancora Facebook, e poco importa che il ricercatore sia riuscito a mettere mano su documenti sensibili o personali, o comunque a trovare link a risorse che non sarebbero mai dovute divenire di pubblico dominio.
Il rischio per la sicurezza – che per Facebook non esiste – si potrebbe estendere anche a eventuali attacchi e scansioni “di massa” da parte di cyber-criminali, con l’uso di VPN e credenziali di accesso multiple per individuare il maggior numero di ID a oggetti “sensibili” potenzialmente interessanti dal punto di vista economico.
Alfonso Maruccia