Facebook ha modificato una caratteristica controversa e che ha dato luogo a bufale, per evitare di esporre i numeri telefonici che gli utenti devono fornire per ricevere un ulteriore livello di sicurezza contro il furto di account.
Il cambiamento, fatto durante il fine settimana, riguarda la recente modifica del servizio di ricerca inversa del numero di telefono (che, come ci si aspetterebbe, consente agli utenti di inserire un numero di telefono sconosciuto per vedere a chi appartiene).
Il servizio non comprende più i numeri di telefono che gli utenti forniscono al momento della firma per l'autenticazione a due fattori di protezione (2FA) conosciuta come autorizzazioni di accesso. Login Approvals richiede agli utenti di fornire una one-time password al proprio dispositivo mobile quando si accede al proprio account da nuovi computer o smartphone. In precedenza, questi numeri erano stati automaticamente inseriti nel database di ricerca inversa.
Gli utenti che volevano avvalersi della protezione a due fattori correvano il rischio di esporre i loro numeri di telefono al mondo in generale o ai loro amici di Facebook, a seconda di come sono state configurate le impostazioni di privacy del profilo Timeline.
Nel corso del weekend gli ingegneri del social network hanno modificato alcuni parametri dei servizi API come quello dell'interrogazione al contrario.
E' noto da un pò che chiunque può cercare un numero di telefono su Facebook alla voce "Trova amici" e ricevere di ritrono il vero nome fornito per quella voce. Questo è stato usato spesso in blog / siti pubblici dai troll o per la raccolta di informazioni di carattere generale. Per ridurre la portata dell'abuso, Facebook ha implementato limiti di frequenza sulla quantità di queste possibili query entro un dato periodo di tempo.
Un portavoce di Facebook ha detto Domenica ad Ars Technica che il cambiamento è temporaneo. Gli ingegneri sono nel processo di creazione di un sistema che permetterà alle persone che si iscrivono per le autorizzazioni di accesso di attivare o disattivare la funzione di ricerca inversa. La modifica della reverse search, in seguito permetterà attraverso opt-in o di opt-out, se impiegare tale meccanismo.
Il cambiamento arriva dopo che Alert Logic ha postato un articolo dove spiega che tramite lo script facebook-phone-crawler è possibile creare un ciclo di interrogazioni a decine di migliaia di numeri di telefono, permettendo di identificare i nomi corrispondenti di ogni proprietario. Secondo il ricercatore che per primo ha dato questa notizia, il penetration tester Suriya Prakash, il tasso di limitazione del sistema di Facebook è stato scarso o inesistente.
Prakash è stato in grado di prendere le liste, o intervalli, di numeri telefonici e le pagine automaticamente, costruendo una ricca lista di contatti, anche degli utenti che avevano dichiarato che il loro numero non doveva essere pubblicamente visibile. Il ricercatore ha trovato l'interfaccia per tirare un numero molto semplice, dato che non vi era altro valore dinamico a complicare ulteriormente la procedura, ma solo una semplice interfaccia GET.
Interrogando m.facebook.com/search/?query =[numero], ha potuto trovare e analizzare il risultato dalla pagina. Gli ingegneri di Facebook hanno risposto riducendo notevolmente il numero di interrogazioni che il titolare di un account potrebbe fare in un determinato periodo di tempo. Ma anche allora, il ricercatore ha detto che era in grado di procurare 300 risultati, prima di essere bloccato dal suo account per 24 ore.
Altri ricercatori hanno criticato il limite di velocità in quanto inefficace. La funzione di ricerca inversa fornisce ancora risultati per i numeri che sono inclusi nei profili degli account degli utenti, e per impostazione predefinita, i nomi dei titolari dei numeri sono forniti a tutti gli utenti di Facebook. L'impostazione predefinita per questa opzione è infatti "Tutti", ma può essere cambiata in "Amici" o "amici degli amici".
Non esiste alcuna opzione per disattivarlo completamente. Gli utenti possono associare più numeri di telefono con i loro account Facebook e possono specificare se devono essere visibili al pubblico, i loro amici o solo a se stessi. Coloro che vogliono limitare tale possibilità solo agli amici di Facebook è necessario modificare le configurazioni predefinite incluse nelle impostazioni della privacy (connessione da parte tua).
Nessun commento:
Posta un commento