Per qualcuno l’idea che Alyssa Milano, Sarah Brown, Britney Spears e tanti altri nomi del jet set noti per comunicare regolarmente attraverso Twitter compaiano nella propria lista dei follower potrebbe essere un motivo per vantarsi davanti ad amici e colleghi. Purché non fossero a conoscenza del bug del tecnofringuello che, in poche parole, consentiva di scegliere da sé gli account da cui farsi seguire .
Apparentemente svelato da un utente turco, il trucco consisteva nel twittare “accept nomeutente” per vedere aumentare subito dopo il numero dei follower con il nick dell’entità o persona desiderata. La successiva diffusione del bug aveva quindi portato a uno stravolgimento dell’ecosistema del tecnofringuello, con migliaia di utenti impegnati nel procacciarsi follower di lusso .
Messi al corrente della situazione, i gestori di Twitter hanno immediatamente azzerato le liste incrementali di utenti seguiti e che seguono . Una volta ripulite, sono state restituite ai proprietari: eccetto a colui che per primo ha scoperto la falla. L’utente @Bora si è visto sospendere il proprio account in attesa che venga fatta chiarezza sull’origine del bug, che per alcuni sembra dovuta a un errore di programmazione generato durante un intervento di sostituzione del software di ricerca di Twitter. Ora la situazione sembra essere tornata normale: l’exploit non è più funzionante e gli elenchi dei follower sono stati opportunamente mondati.
Un trucco simile un paio di anni fa su Facebook aveva permesso a chiunque per qualche giorno di visualizzare il profilo di utenti non amici semplicemente modificando la URL e ricaricando la pagina. Anche in quell’occasione i tempi di risposta del team di Facebook furono abbastanza ristretti, consentendo una rapida rivoluzione del problema. Tuttavia secondo quanto riportato da TechCrunch , i dati degli utenti del social network in blu sarebbero nuovamente a rischio a causa di una falla che permetterebbe ai cybercriminali di arraffare le informazioni personali.
La falla è stata individuata in Yelp, uno dei siti partner di Facebook in grado di accedere direttamente alle informazioni personali dell’utente senza che questo debba concedere autorizzazioni o nulla osta. Uno script maligno iniettato nel codice di Yelp sarebbe in grado di estrapolare alcune informazioni chiave per utilizzare le API di Open Graph, il discusso sistema di interconnessione con siti legati a Facebook, in maniera impropria e impadronendosi indebitamente dei dati personali inseriti dall’utente nel proprio profilo social.
Nonostante sia stata rilasciata una patch il problema non sarebbe stato risolto del tutto. Per ora Facebook ha fatto sapere che non sono sono stati registrati furti di dati ma non è tutto qui: durante il weekend è emerso un ulteriore bug, già sistemato, stavolta relativo alle email di notifica di Facebook. In questo caso sarebbe stato possibile risalire all’indirizzo IP dell’utente che ha causato l’invio della notifica , attraverso un codice inserito nell’oggetto del messaggio.
Giorgio Pontico