Il 25 settembre è stato scoperto il più grande attacco hacker mai subito da Facebook. Sfruttando una falla nell’opzione “Visualizza come” qualcuno ha potuto accedere ai profili di 50 milioni di utenti
I guai per Facebook sembrano non finire mai: il 25 settembre infatti gli ingegneri del social network hanno scoperto un attacco hacker che ha riguardato circa 50 milioni di utenti.
Sfruttando una falla nella sicurezza della funzione “Visualizza come”, i malintenzionati sono riusciti ad accedere ai profili privati dei contatti, anche se non è chiaro cosa sia stato realmente fatto e quali informazioni siano state rubate (se ne sono state rubate).
La funzionalità «Visualizza come» permette all’utente di avere un’anteprima di come vede il suo profilo una persona con cui non è in contatto. Le informazioni pubbliche insomma, accessibili a tutti. È molto utile se ad esempio vogliamo personalizzare la nostra privacy o renderci completamente invisibile a chiunque non sia un nostro amico.
Sfruttando questa vulnerabilità gli hacker sono riusciti a risalire ai token di accesso di alcuni utenti. I token sono delle stringhe di codice che permettono di rimanere collegati al proprio account senza bisogno di mettere le credenziali ogni volta. Praticamente il token è il motivo per cui ogni volta che ci colleghiamo al nostro profilo Facebook dal cellulare, non dobbiamo mettere nome utente e password.
Gli ingegneri della piattaforma hanno prontamente disattivato questa funzionalità, in modo da poter lavorare a una patch risolutiva e hanno resettato i token di oltre 50 milioni di account interessati nell’attacco e, come forma precauzionale, anche di altri 40 milioni. È possibile quindi che se avete dovuto rieffettuare l’accesso al vostro profilo durante la scorsa settimana, il vostro account sia uno di quelli interessati. Ad ogni modo dato che i token non contengono la password non è necessario correre a modificarla, anche se è buona norma cambiarla almeno una volta ogni sei mesi.
Non si sa ancora chi siano i responsabili dell’attacco nè per quanto tempo abbiano potuto agire indisturbati, in ogni caso Facebook fa sapere che le carte di credito sono al sicuro in quanto dati non visibili. L’FBI, contattata dalla stessa società, sta già indagando.
I guai per Mark Zuckerberg comunque non sono finiti: il 26 settembre Chang Chi-yuan, un noto debugger tailandese, ha pubblicato un aggiornamento dicendo che avrebbe cancellato in diretta streaming il profilo del fondatore di FB, sfruttando un altro bug della piattaforma. Lo scorso venerdì però, lo stesso Chi-yuang si è tirato indietro, e ha collaborato con Facebook segnalando loro la falla.