Facebook risolve un grave bug negli account

Un ricercatore di sicurezza, Anand Prakash, ha scoperto una vulnerabilità sul social network che poteva essere sfruttata per accedere a tutti gli account. Il bug è correlato al sistema che permette di reimpostare la password dimenticata attraverso un codice di sei cifre. Facebook ha ricevuto la segnalazione a fine febbraio, confermando il problema. L’azienda di Menlo Park ha chiuso la vulnerabilità e premiato Prakash con 15.000 dollari.

Se l’utente dimentica la password è possibile chiedere la sua reimpostazione, indicando l’indirizzo email o il numero di telefono associato all’account. Facebook invierà quindi un PIN di sei cifre per consentire l’accesso provvisorio al social network e scegliere una nuova password. Per evitare che qualcuno tenti di indovinare il codice, l’accesso viene bloccato dopo 10-12 tentativi errati. Il ricercatore ha scoperto che questa protezione contro il “brute force” non è stata attivata sulle versioni beta del social network (beta.facebook.com e mbasic.beta.facebook.com), usate per testare le nuove funzionalità.

Dato che Facebook Beta è una copia esatta del Facebook principale, Prakash ha sviluppato un semplice script che prova tutte le diverse combinazioni finché non viene trovato il codice a sei cifre corretto. Un malintenzionato poteva quindi ottenere l’accesso a qualsiasi account ed eseguire qualsiasi operazione, dalla semplice lettura dei messaggi al furto dei dati della carta di credito usata per i pagamenti. Ovviamente ciò è possibile solo se si conoscono l’indirizzo email o il numero di telefono della vittima.

La vulnerabilità è piuttosto banale, quindi il premio di 15.000 dollari sembra troppo elevato. In realtà, il programma White Hat di Facebook considera il rischio e l’impatto sugli utenti. Fortunatamente non è stato segnalato nessun exploit che sfrutta il bug.