Un script messo a punto da un ricercatore sfrutterebbe il sistema con il quale Facebook permette agli utenti di recuperare la password di login dimenticata, mettendo a rischio la privacy degli utenti e fornendo agli spammer le mail di registrazione al social network.
Facebook sta lavorando per correggere un bug nel suo sito web che può essere utilizzato da spammer per raccogliere fotografie e nomi degli utenti iscritti a loro insaputa. E' stato scoperto infatti che se qualcuno inserisce l'indirizzo e-mail di un utente di Facebook con la password sbagliata, Facebook restituisce il seguente messaggio: "Si prega di inserire nuovamente la password", visualizzando la foto del profilo di Facebook ed il nome completo della persona associata all'indirizzo. Il sistema aiuta gli utenti a verificare se hanno scritto male il loro indirizzo e-mail al momento del login, ma potrebbe essere usato dagli spammer per ottenere informazioni sui 500 milioni di utenti iscritti a Facebook. Uno spammer, con un elenco d'indirizzi di posta elettronica potrebbe scrivere uno script che inserisce gli indirizzi e-mail in Facebook e registrare quindi i nomi reali. Ciò potrebbe contribuire a rendere un attacco di phishing più realistico, ha dichiarato Atul Agarwal, il ricercatore che ha pubblicato un post sulla questione (insieme a uno script di esempio su come i nomi potrebbero essere raccolti). Agarwal ha aggiunto che qualcuno potrebbe anche utilizzare la funzione random per generare indirizzi di posta elettronica e controllare se funzionano realmente.
"La pagina di login mostra le immagini di persone, anche quando ho impostato correttamente le impostazioni della privacy su privato. La raccolta di questi dati è dunque molto semplice", ha concluso Agrawal. Facebook ha confermato l'introduzione di un recente problema che ha impedito la risoluzione di questo bug. "Abbiamo sistemi tecnici per prevenire che siano visualizzati i nomi delle persone e le loro foto agli utenti non collegati al login, ma un bug introdotto recentemente ci ha temporaneamente impedito di lavorare su questo problema come era invece previsto," ha detto un portavoce della società in un messaggio di posta elettronica. "Stiamo già lavorando su un fix e ci aspettiamo di porre rimedio alla situazione a breve". I truffatori hanno assunto un particolare interesse per Facebook negli ultimi anni, e criminali come coloro che hanno scritto il worm Koobface potrebbero interessarsi al bug, ha detto Roger Thompson, Chief Research Officer di AVG antivirus. "Mi aspetto che la banda di Koobface correrà per cercare di approfittare di questo bug prima che Facebook ponga una patch. Sarà interessante vedere chi vincerà", ha concluso Thompson attraverso instant message.
Via: http://www.pcworld.com/businesscenter/
Tags: Facebook Bug, Facebook Spam
Nessun commento:
Posta un commento