Bug Facebook espone e-mail e numeri di telefono di 6 milioni di utenti

Un bug di sicurezza Facebook ha esposto i contatti personali di almeno 6 milioni di account (e-mail o numero di telefono) ad altri utenti che sono stati collegati a loro e non attraverso un hack. Facebook ha riferito nel tardo pomeriggio di Venerdì che un bug software o problema tecnico nei suoi sistemi ha lasciato le informazioni personali degli utenti esposti a persone che non erano necessariamente i loro amici sul servizio. Il social network ha risolto il problema e sta informando gli utenti interessati.

La società ha detto di aver disabilitato lo strumento "Scarica le tue informazioni" per un giorno, ma lo ha ripristinato dopo la correzione del bug. Inoltre, ci sono stati degli indirizzi email di utenti non-Facebook e numeri di telefono inclusi nello strumento di download per invitare i contatti a iscriversi a Facebook e che questa informazione non è legata a tutti gli account di Facebook e "Non è stata strutturata e non è identificabile". Nella nota diffusa tramite il suo security blog si legge:

"In Facebook, prendiamo la privacy delle persone sul serio, e ci sforziamo di proteggere le informazioni della gente al meglio delle nostre capacità. Implementiamo molte misure di sicurezza, assumiamo gli ingegneri più brillanti e li addestriamo per assicurarci di avere solo il codice di alta qualità dietro le quinte delle vostre esperienze di Facebook. Abbiamo anche i team che si concentrano esclusivamente sulla prevenzione e la risoluzione di problemi tecnici relative alla privacy prima che possano compromettere voi".

"Anche con una squadra forte, nessuna azienda può garantire la prevenzione al 100% di bug, e in rari casi non scopriamo un problema fino a quando non ha già colpito l'account di una persona. Questo è uno dei motivi per cui abbiamo anche un programma di White Hat per collaborare con ricercatori di sicurezza esterni ed aiutarci a garantire il mantenimento degli standard di sicurezza più elevati per i nostri utenti".

"Recentemente - spiega ancora Facebook Security - abbiamo ricevuto una relazione al nostro programma di White Hat per quanto riguarda un bug che può aver permesso ad alcune informazioni di contatto di una persona (e-mail o numero di telefono) di essere accessibili da persone che hanno avuto alcune informazioni di contatto di quella persona o qualche connessione con loro. Descrivendo cosa ha causato il bug può essere abbastanza tecnico, ma vogliamo spiegare come sia successo".

"Quando le persone caricano i loro elenchi di contatti o rubrica per Facebook, cerchiamo di abbinare i dati con le informazioni di contatto di altre persone su Facebook al fine di generare le raccomandazioni di amici. Per esempio, noi non vogliamo raccomandare che le persone invitino i contatti a iscriversi a Facebook se tali contatti sono già su Facebook, invece, vogliamo raccomandare che invitino tali contatti a diventare loro amici su Facebook".

"A causa del bug, alcune delle informazioni utilizzate per formulare raccomandazioni amico e ridurre il numero di inviti che inviamo sono state inavvertitamente memorizzate in associazione con le informazioni di contatto delle persone come parte del loro account su Facebook. Di conseguenza, se una persona è andata a scaricare un archivio del suo account di Facebook tramite il nostro strumento Download Your Information (DYI), essi possono essere stati forniti con altri indirizzi email o numeri di telefono dei loro contatti o persone con cui hanno qualche connessione". 

"Queste informazioni di contatto sono state fornite da altre persone su Facebook e non sono state necessariamente precise, ma sono state inavvertitamente incluse con i contatti della persona che ha utilizzato lo strumento DYI. Dopo la revisione e la conferma del bug dal nostro team di sicurezza, abbiamo immediatamente disabilitato lo strumento DYI per risolvere il problema e siamo stati in grado di trasformare il tool, il giorno successivo, una volta che siamo rimasti soddisfatti della risoluzione del problema".

"Abbiamo concluso che circa 6 milioni di utenti di Facebook hanno condiviso indirizzi e-mail o numeri di telefono. Ci sono stati altri indirizzi email o numeri di telefono inclusi nel download, ma non sono stati collegati a tutti gli utenti di Facebook o anche ai nomi delle persone. Per quasi tutti gli indirizzi email o numeri di telefono inclusi, ogni indirizzo e-mail individuali o numero di telefono sono stati inclusi solo in un download una o due volte".

"Ciò significa, in quasi tutti i casi, un indirizzo email o numero di telefono è stato esposto a una sola persona. Inoltre, altri tipi di informazioni personali o finanziarie non sono stati inclusi e solo le persone su Facebook - non sviluppatori o gli inserzionisti - hanno avuto accesso allo strumento DYI. Al momento non disponiamo di alcuna prova che questo bug è stato sfruttato maliziosamente e non abbiamo ricevuto denunce da parte degli utenti o visto comportamenti anomali sullo strumento o sito per suggerire illeciti". 

"Anche se l'impatto pratico di questo bug è probabilmente minimo per qualsiasi indirizzo di posta elettronica o numero di telefono che sono stati condivisi con le persone che hanno già avuto alcune di queste informazioni di contatto in ogni caso, o che hanno avuto qualche connessione tra loro, è ancora qualcosa che ci ha 'sconvolto e imbarazzato', e lavoreremo doppiamente per assicurarci che nulla di simile accada di nuovo. 

"La vostra fiducia è il bene più importante che abbiamo, e ci siamo impegnati a migliorare le nostre procedure di sicurezza e tenere i vostri dati al sicuro. Abbiamo già notificato ai nostri regolatori negli Stati Uniti, in Canada e in Europa, e siamo in procinto di notificare agli utenti interessati tramite e-mail. Apprezziamo la relazione del ricercatore di sicurezza del nostro programma di White Hat, e abbiamo pagato un bug bounty per ringraziarlo per i suoi sforzi". Un portavoce di Facebook ha ammesso che il bug era attivo dallo scorso anno, ed è stato scoperto solo la scorsa settimana.

Grave bug di sicurezza permetteva accesso a qualsiasi profilo di Facebook

Uno sviluppatore Web ha scoperto una grave falla di sicurezza su Facebook che avrebbe permesso ad un attaccante di accedere a qualsiasi parte del profilo di uno sconosciuto tramite le autorizzazioni applicazioni. Anche se Facebook ha risolto questo problema, Nir Goldshlager, specialista di sicurezza delle applicazioni che cerca questo tipo di difetti professionalmente, ha trovato più bug nell'autorizzazione app che avrebbero bisogno di essere fissate, secondo il suo blog. 

Le autorizzazioni app sono ciò che gli sviluppatori utilizzano per accedere ai dati utente necessari per eseguire le loro applicazioni. Gli utenti forniscono agli sviluppatori l'autorizzazione di accesso quando si installano le loro applicazioni. Nir Goldshlager ha trovato un paio difetti nel servizio OAuth di Facebook e ha descritto le sue scoperte sul suo blog. Lo sviluppatore ha notificato al social network la questione ed ha atteso prima di rendere pubblica la sua scoperta.

Facebook non ha voluto commentare sugli altri difetti che Goldshlager potrebbe aver trovato, ma ha detto che il bug originale rilevato non è stato sfruttato realmente dagli sviluppatori di applicazioni su Facebook. "Ci complimentiamo con il ricercatore di sicurezza che ha portato questo problema alla nostra attenzione e per averlo segnalato al responsabile del nostro bug White Hat Program", ha scritto un rappresentante di Facebook a CNET via email.

"Abbiamo lavorato con il team per comprendere la portata della vulnerabilità, che ci ha permesso di risolvere il problema senza la prova che questo bug sia stato sfruttato in natura. In seguito alla segnalazione del problema su Facebook, non abbiamo alcuna prova che gli utenti siano stati influenzati da questo bug. Abbiamo fornito un premio al ricercatore per ringraziarlo di aver contributo alla sicurezza di Facebook", ha concluso il rappresentate del social network.

L'azienda non ha precisato quando Goldshlager ha segnalato il difetto. Goldschlager ha trovato un bug trovato che gli ha permesso di rubare il token di accesso e ottenere l'accesso completo a un profilo come sviluppatore. Ciò ha incluso i messaggi, gestione delle pagine, foto private e video. Mentre la maggior parte delle applicazioni su Facebook sono applicazioni di terze parti che gli utenti devono approvare manualmente, ci sono alcune applicazioni integrate che sono pre-approvate. 

Una di queste applicazioni è Facebook Messenger, il cui token di accesso non ha scadenza a meno che l'utente cambia la sua password e dispone di autorizzazioni estese per accedere ai dati dell'account. Facebook Messenger è in grado di leggere, inviare, caricare e gestire i messaggi, notifiche, foto, e-mail, video, e altro ancora. La vulnerabilità manipola l'URL trovato su m.facebook.com e touch.facebook.com, permettendo di rubare il token di accesso di un utente.

L'Url di attacco avrebbe potuto essere accorciato con uno dei tanti servizi URL Shortener e inviato agli utenti mascherato da un link a qualcosa d'altro. L'attacco avrebbe anche lavorato sugli account Facebook con autenticazione a due fattori attivata. Con il token di accesso e l'ID utente di Facebook, un utente malintenzionato è in grado di estrarre informazioni dall'account utilizzando il Graph API Explorer, uno strumento per sviluppatori disponibile sul sito di Facebook.

Non è la prima volta che un ricercatore di sicurezza trova una grave falla nel social network creato da Mark Zuckerberg. A luglio del 2011, Reda Cherqaoui, 22 anni, esperto di sicurezza informatica, aveva trovato un bug che permetteva di accedere ai dati degli utenti di Facebook, senza bisogno di scoprirne nome utente e password. Il consiglio in questo caso è quello di essere cauti nell'installare applicazioni e leggere sempre le autorizzazioni che vengono richieste dallo sviluppatore. Potete controllare l'elenco delle app installate sul vostro profilo a questo link.

Facebook fissa bug che avrebbe consentito ad hacker di attivare webcam

Facebook ha patchato una vulnerabilità di sicurezza che avrebbe permesso agli hacker di attivare la webcam degli utenti a loro insaputa e postare i video ai loro profili. Il bug è stato scoperto nel mese di luglio da due ricercatori di sicurezza informatica in India, secondo Fred Wolens, portavoce di Facebook.  Aditya Gupta e Subho Halder, fondatori di una società di consulenza chiamata XY Security, hanno riportato i loro risultati su Facebook, che li ha pagati 2.500 dollari in contanti per le informazioni, hanno detto.

Facebook chat può essere usata per lanciare attacchi Dos contro utenti

Questo riepilogo non è disponibile. Fai clic qui per visualizzare il post.

Facebook down: 1,32 milioni account accessibili da Google senza password

"Sorry, something went wrong", è il messaggio di errore che gli utenti di Facebook hanno ricevuto la scorsa notte al momento di accedere o mentre erano loggati sul social network. Dopo il problemi rilevati lo scorso 11 ottobre, ecco arrivare un nuovo down di Facebook. La piattaforma è rimasta inaccessibile nella notte tra il 2 e 3 novembre 2012 da desktop per qualche ora, mentre era possibile accedervi dal sito mobile touch.facebook.com.

Facebook controlla i link dei messaggi privati, bug incrementava i Mi Piace

"Quando si invia un link a qualcuno in un messaggio privato su Facebook, quant'è privato?" E' ciò che si è chiesto il Wall Street Journal nei giorni scorsi. Un recente video online mostra che il sito di social network analizza i link che si stanno inviando e registra i "Like" che vengono dati alle pagine. E' solo un esempio di come messaggi online che sembrano privati ​​sono spesso effettivamente esaminati dai sistemi di sicurezza di Facebook per analizzare i dati.

Facebook include anche i profili disattivati nel conteggio totale degli amici

Da un paio di giorni gli utenti di Facebook hanno visto aumentare il loro numero di amici in maniera esponenziale. Anche i profili che contavano cinquemila amici (limite imposto da Facebook per ragioni non ufficiali di scalabilità) hanno superato abbondantemente tale numero. In Rete si sono susseguite diverse ipotesi (anche noi ne avevamo effettuato qualcuna) ma col passare delle ore iniziano a delinearsi i contorni di questo inconveniente "misterioso". Adesso vi è infatti una comunicazione (ufficiosa) da parte di Facebook e a riportala è John Eolford di Web Pro News che ha contattato il social network.

"Di recente abbiamo cambiato il nostro modo di contare il numero di persone che sono amici per includere alcuni account che non sono attualmente attivi sul servizio. E' importante notare che, mentre stiamo dimostrando conteggi diversi, nessuna ulteriore informazione sull'utente sarà disponibile. Grazie alla nostra infrastruttura interna siamo in grado di fornire un'esperienza ancora più veloce per coloro che utilizzano il nostro servizio, mostrando questi conteggi modificati", ha dichiarato Facebook.

Il social network ha detto che la ragione per cui mostra anche gli amici disattivati nella lista degli amici è per "prevenire ogni possibile rischio alla sicurezza rappresentata dagli amici temporaneamente disattivati". Alcune ipotesi attribuivano la colpa ad un presunto bug sul social netwokr, ma se andiamo a cercare eventuali segnalazioni di problemi sul Facebook Developers  Bugs utilizzando il tag di ricerca "friends", non troviamo alcuna notizia riguardo ad un presunto bug che porterebbe all'aumento del numero di amicizie.

In ogni caso, al momento è possibile visualizzare il "vecchio" numero collegandosi a m.facebook.com, cioè la versione mobile di Facebook. Evidentemente la modifica ha riguardato per adesso soltanto la versione desktop del social network. E' possibile comunque rimuovere manualmente le amicizie cliccando sui nomi degli amici disattivati, ottenendo il seguente messaggio da parte Facebook: "Questo account è stato disattivato. Puoi vedere [Nome] sulla tua lista amici. Hai comunque la possibilità di rimuovere [Nome]"

Se clicchiamo sul link per la rimozione si aprirà una finestra dove Facebook ci chiede di confermare la nostra richiesta di rimozione. Se confermiamo avremo rimosso l'account inattivo dal nostro elenco di amicizie. Purtroppo la rimozione di tutti questi nuovi account "fantasma" prende molto tempo e fatica, soprattutto per coloro che contano un considerevole numero di amici, perchè si deve scorrere l'elenco e rimuovere singolarmente. Effettivamente non si possono vedere le informazioni sui profili disattivati.

Si possono trovare anche alcuni amici che non hanno semplicemente caricato un'immagine del profilo ed è difficile dire se il loro account è attivo o è stato disattivato. Prestate dunque attenzione quando cliccate su questi tipi di account e prima di rimuoverli verificate. Tale sistema risulta però inutile per quegli account in "neretto" e non cliccabili. Se andiamo a visualizzare la lista amici degli amici non saranno comunque visibili gli account disattivati.

Ricordiamo che se disattivate l'account il profilo scompare dal servizio immediatamente. Gli altri utenti di Facebook non potranno cercarvi e alcune informazioni, come i messaggi inviati da voi, potrebbero essere ancora visibili agli altri. Le informazioni del vostro profilo come amici, foto, interessi, ecc., vengono salvate nel caso voi decidiate di tornare a Facebook in un momento successivo. Se decidete di riattivare l'account, le informazioni sul tuo profilo saranno ancora li quando ritornerete.

"Molti utenti disattivano il proprio account per motivi temporanei e si aspettano che il proprio profilo (diario) sia ancora lì quando tornano ad attivare il servizio. Questa opzione ti dà la possibilità di abbandonare e tornare su Facebook quando vuoi", spiega Facebook. Se invece eliminate in modo permanente il vostro account non potete più riottenere l'accesso al vostro account. La maggior parte delle informazioni personali a esso associato verranno rimosse dal database di Facebook.

Tali informazioni includono, ad esempio, il vostro indirizzo e-mail, l'indirizzo postale e il nome di messaggistica istantanea. Alcune delle informazioni personali potrebbero essere conservate, come ad esempio il vostro nome nel caso in cui voi abbiate inviato un messaggio a un altro utente. Copie di alcuni materiali (foto, note, ecc.) possono restare memorizzate sui server di Facebook per motivi tecnici, ma vengono rimosse tutte le informazioni personali e vengono resi completamente inaccessibili agli altri utenti di Facebook.

Attenzione alle false notifiche di richieste amicizie Facebook via e-mail

In queste ore molti utenti di Facebook hanno visto aumentare il numero di amicizie del loro profilo in maniera esponenziale, senza aver aggiunto in realtà ulteriori amicizie. A quanto pare si tratta d'un bug al quale Facebook non ha ancora posto rimedio. E probabilmente, sfruttando questa confusione, gli spammer non si sono fatti attendere. Molti utenti di Facebook stanno infatti ricevendo delle e-mail che sembrano provenire dal social network. In particolare, i lettori di Naked Security hanno segnalato delle e-mail che indicherebbero delle "notifiche in sospeso" proprio riguardo a delle presunte richieste d'amicizia ricevute sul social network. In realtà, le e-mail non provengono da Facebook.

Grave vulnerabilità e-mail su Facebook permette di rubare l'identità

Un giovane operaio edile della regione di León, in Spagna, ha detto nel suo blog di aver scoperto una grave falla di sicurezza nel sistema di posta elettronica di Facebook che permette conoscendo poco e molto semplicemente, di inviare messaggi a tutti gli utenti della Rete per conto di altri. L'Istituto Nazionale delle Tecnologie della Comunicazione (Inteco) ha appreso della falla di sicurezza che permette di assumere l'identità di molte persone sul social network da oltre 400 milioni di utenti, nelle notizie che sono state fornite ,artedì scorso su El Mundo León attraverso il suo scopritore Alfredo Arias, noto come Minipunk.

Ricercatore trova vulnerabilità negli allegati dei messaggi Facebook

Un tester di penetrazione sulla sicurezza ha scoperto una importante falla in Facebook che potrebbe consentire ad una persona qualunque di mandare file dannosi direttamente nella posta del social network. Il problema riguarda una funzione di Facebook che consente agli utenti di inviare un messaggio e un allegato ad un altro utente che non è loro amico. Facebook vieta l'invio di file eseguibili, ma un penetration tester di sicurezza ha trovato un modo per aggirare il filtro.

Facebook più sicuro con i cacciatori di Bug, pagati oltre 40mila dollari

A tre settimane dal lancio del programma 'Bug Bounty' nell’ambito del quale degli hacker vengono pagati per identificare eventuali difetti nella piattaforma, Facebook ha reso noto di aver sborsato ricompense per oltre 40 mila dollari. Il responsabile della sicurezza di Facebook, Joe Sullivan, ha commentato entusiasta l'iniziativa che ha portato a un miglioramento di molte curve del loro codice di programmazione. 

"Oggi sto scrivendo riguardo ad un recente miglioramento, il nostro programma bounty bug, che in breve tempo si è dimostrato prezioso al di là delle nostre aspettative. Siti come Facebook risiedono su Internet ed offrono una serie di servizi validi che non si realizzano in una notte. Assumiamo i migliori e più brillanti programmatori, e abbiamo attuato numerosi protocolli, come il nostro 'boot-camp' di sei settimane intensive e spinto il codice peer-reviewed, per garantire solo quello che soddisfa i nostri rigorosi standard sia attivo sul sito. Anche così, a volte il codice software contiene bug". 

"In generale, ci sono bug nel software a causa della complessità del software, errori di programmazione, cambiamenti nei requisiti, errori commessi nella gestione dei bug, documentazione limitata o problemi di strumenti di sviluppo software. Per far fronte a questo, abbiamo interi team dedicati alla ricerca e alla disabilitazione bug, e abbiamo anche noleggiato revisori esterni per aiutare a testare il nostro codice. Il nostro 'bug-a-thons' per tutta la notte ha permesso di individuare e anche risolvere i problemi", scrive Sullivan in una nota sulla pagina di sicurezza di Facebook. 

"Ci rendiamo conto, però, - prosegue Sullivan - che ci sono molti esperti di sicurezza di talento e buone intenzionati in tutto il mondo che non lavorano per Facebook. Nel corso degli anni, abbiamo ricevuto un eccellente supporto da parte di ricercatori indipendenti che ci hanno fatto capire sugli errori che hanno trovato. Un paio di anni fa, abbiamo deciso di formalizzare un programma 'whitehat' per incoraggiare i ricercatori a cercare bug e segnalarceli. Abbiamo ricevuto un feedback molto positivo quando abbiamo lanciato la nostra politica di rivelazione responsabile dello scorso anno, in cui abbiamo detto che non avremmo intrapreso azioni negative contro i ricercatori che hanno seguito la politica di segnalazione dei bug".

L'Electronic Frontier Foundation (EFF) ha elogiato l'approccio di Facebook, dice Sullivan. "Non è una sorpresa per i membri di EFF che Internet è piena di falle di sicurezza, alcuni delle quali gravi. Eppure molte aziende Internet cercano di affrontare questi problemi internamente, o per niente. Non favoriscono gli estranei a segnalare i difetti scoperti durante l'uso o il test di un sito web, e possono essere anche ostili verso coloro che rivelano fatti che non vogliono sentire. 

Ben intenzionati gli utenti di Internet hanno spesso paura di segnalare alle società le falle di sicurezza che hanno trovato - perchè non sanno se si otterranno abbondanti grazie o bollati con una causa o azione penale. Questa tensione è un peccato, perché quando le aziende imparano ciò che deve essere fissato, i servizi saranno migliori e più sicuri per i loro utenti", sottolinea Marcia Hofmann in un post sul sito di EFF. 

"Facebook si è posto oltre ad altre società Internet - prosegue Hofmann - riconoscendo il problema e lavora per superarlo. Il sito di social networking è diventato uno dei primi a pubblicare una politica destinata a rendere quelli che scoprono vulnerabilità a farsi più comodamente avanti per segnalarlo: noi incoraggiamo i ricercatori di sicurezza che identificano i problemi di sicurezza [...] È possibile segnalare problemi di sicurezza su Facebook qui. Se avete esitazioni sulla segnalazione di una vulnerabilità di Facebook o di chiunque altra, fatecelo sapere e saremo lieti di discutere le vostre preoccupazioni con voi", conclude  Hofmann. 

Facebook, per ottenere il suo scopo, ha assoldato un ampio numero di ‘esperti in sicurezza’ in oltre 16 Paesi, dalla Turchia alla Polonia, dando ad ognuno 500 dollari a Bug, con un compenso maggiore nel caso dell’identificazione di difetti estremamente compromettenti. Un cacciatore di bug (bug hunter) è riuscito infatti a guadagnare oltre 7 mila dollari grazie alla segnalazione di ben sei falle diverse, mentre un altro ancora è stato pagato 5 mila dollari grazie ad una segnalazione particolarmente importante per il sito. Joe Sullivan ha avvertito però che ci sono anche molti furbi che inviano segnalazioni fasulle solo per cercare pubblicità. Facebook ha sviluppato una serie di meccanismi che aiutano a rilevare e disattivare automaticamente applicazioni maligne o spam.

Facebook lancia Security Bug Bounty, soldi a chi trova bug di sicurezza

Facebook ha lanciato il Security Bug Bounty Program, attraverso il quale pagherà i ricercatori di sicurezza per la scoperta e la segnalazione privata di vulnerabilità nella sua piattaforma. Il piano che riguarda il programma di ricompensa per la sicurezza agli hacker whiteat era stato rivelato dal Chief Security Officer della società Joe Sullivan, alla conferenza dedicata alla sicurezza Hack in the Box ad Amsterdam. Sembra che Facebook sia riuscito finalmente a risolvere i problemi legali che tale sforzo comporta e ha annunciato pubblicamente la disponibilità del programma. 

L'azienda offre 500 dollari in premi per i rapporti che vengono qualificati. Aderendo al programma è obbligatorio leggere un paragrafo delle policy di divulgazione responsabile: "If you give us a reasonable time to respond to your report before making any information public and make a good faith effort to avoid privacy violations, destruction of data and interruption or degradation of our service during your research, we will not bring any lawsuit against you or ask law enforcement to investigate you" (se ci date un tempo ragionevole per rispondere alla vostra segnalazione prima di effettuare qualsiasi informazione pubblica e fate uno sforzo in buona fede al fine di evitare violazioni della privacy, la distruzione di dati e di interruzione o degrado del nostro servizio durante la ricerca, non porterà alcuna querela contro di voi o chiedere l'applicazione della legge per indagare voi). 

Inoltre, sulla pagina dedicata al programma leggiamo: "If you're a security researcher, please review our responsible disclosure policy before reporting any vulnerabilities. If you're not a security researcher, visit the Facebook Security Page for assistance. If you believe you've found a security vulnerability on Facebook, we encourage you to let us know right away. We will investigate all legitimate reports and do our best to quickly fix the problem"

(Se siete un ricercatore di sicurezza, si prega di consultare la nostra politica di divulgazione responsabile prima di segnalare eventuali vulnerabilità. Se non siete un ricercatore di sicurezza, visitare la pagina Facebook di sicurezza per l'assistenza. Se credete di aver trovato una vulnerabilità di sicurezza su Facebook, vi invitiamo a farcelo sapere subito. Indagheremo tutti i rapporti legittimi e faremo del nostro meglio per risolvere rapidamente il problema). I ricercatori riferiscono che la ricompensa andrà a chi per primo qualificherà la vulnerabilità per la prima volta.

 Se a due ricercatori capita di trovare lo stesso errore in modo indipendente, il primo che lo riporta otterrà il denaro. I tipi di vulnerabilità che si qualificano per i premi sono: cross-site scripting (XSS), cross-site request forgery (CSRF/XSRF) e iniezione di codice remoto. Inoltre, l'exploit deve compromettere l'integrità e la riservatezza dei dati degli utenti di Facebook. Mentre una vincita tipica è di 500 dollari, la ricompensa può essere aumentata in casi particolari, anche se la società non specifica per questo alcun criterio. E 'anche interessante notare che solo i residenti dei paesi che non sono sotto le sanzioni degli Stati Uniti possono qualificarsi. 

I ricercatori della Corea del Nord, Libia, Cuba e altri paesi simili non avranno diritto a ricevere ricompense. Le vulnerabilità in applicazioni di terze parti di Facebook e siti web che si integrano con la piattaforma non saranno premiate, e neppure quelli dell'infrastruttura aziendale di Facebook, quelli che conducono alla negazione di condizioni di servizio (Denial of Service) o tecniche di ingegneria sociale e spam. La decisione di Facebook di lanciare il bug bounty program security per la sua piattaforma web segue decisioni analoghe da parte di Google e Mozilla per estendere il programma di sicurezza dei loro browser ad hacker whiteat che ricevono ricompense per le loro segnalazioni.

Bug Facebook ha esposto miniature e dati video privati agli amici

Un permission glitch ha reso possibile agli utenti di Facebook di visualizzare l'elenco dei video privati ​​dei loro amici per oltre una settimana nonostante non vi avessero accesso in base alla loro privacy. Facebook consente agli utenti di impostare le regole di accesso ai sever per i video (introdotti dal 2007) che postano sul social network a causa della natura sensibile che tale contenuto potrebbe avere. Per circa una settimana, un bug sulla piattaforma ha superato alcuni muri di protezione della privacy. La causa del disservizio andrebbe ricercata nella modifica di un codice che ha portato ad un errore con il sistema di autorizzazioni.

Falla di sicurezza su Facebook, possibile accedere a qualsiasi profilo

Agatha è il nome che Reda Cherqaoui, 22 anni, ha scelto per battezzare il suo portale, direttamente ispirato al film di fantascienza "Minority Report". E' lui che recentemente ha raggiunto il pieno accesso alle informazioni di oltre 80.000 utenti di Facebook, come messaggi in bacheca, lo status, video, foto, informazioni personali, i messaggi ricevuti e e-mail inviati. Si tratta d'un portale sviluppato su server http per monitorare il social network, scoprendo un difetto nel sistema di sicurezza che permette di accedere alle informazioni dettagliate degli utenti di Facebook, senza dover rubare e-mail e password o gli ID degli utenti.

Grave bug Facebook, Symantec invita gli utenti a cambiar password

Le informazioni personali degli utenti di Facebook potrebbero essere state rivelate accidentalmente a soggetti terzi, in particolare inserzionisti, negli ultimi anni. Lo sostiene la società specializzata in sicurezza informatica Symantec sul proprio blog ufficiale. Altri soggetti avrebbero avuto accessi a informazioni personali come profili, fotografie e chat, e potrebbero aver avuto la capacità di postare messaggi. La società ha segnalato questo problema a Facebook, che ha adottato le misure correttive per contribuire ad eliminare questo problema.

Le applicazioni di Facebook sono le applicazioni Web integrate sulla piattaforma Facebook. Secondo Facebook, 20 milioni di applicazioni vengono installate tutti i giorni. Le applicazioni su Facebook sono di due tipologie: FBML o iFRAME. Proprio una caratteristica dell’iframe avrebbe consentito di recuperare il token univoco dell’utente, un metodo alternativo alla password, esponendo qualunque dato alle applicazioni attive. Si stima che oltre 100.000 di queste hanno usufruito per anni di questo bug per tracciare gli utenti del social network. Si stima che nel corso degli anni, centinaia di migliaia di applicazioni possono avere inavvertitamente trapelato milioni di token di accesso a terzi. Le applicazioni possono utilizzare questi gettoni o le chiavi per eseguire determinate azioni per conto dell'utente o accedere al profilo dell'utente. Ogni token o 'chiave di riserva' è associato a un gruppo selezionato di autorizzazioni, come leggere la vostra bacheca, l'accesso al profilo del vostro amico, il vostro intervento sulle bacheche, ecc.

Durante il processo di installazione dell'applicazione, l'applicazione richiede all'utente di concedere le autorizzazioni per queste azioni. Su concessione di tali autorizzazioni, l'applicazione ottiene un token di accesso, come mostrato nella figura di seguito.

Usando questo token di accesso, l'applicazione può ora accedere alle informazioni dell'utente o eseguire operazioni per conto dell'utente. https://graph.Facebook.com/me/accounts access_toke...?. Per impostazione predefinita, la magior aprte dei token di accesso scadono dopo poco tempo, tuttavia l'applicazione può richiedere token di accesso offline che permettono loro di utilizzare questi token finché non si cambia la password, anche quando non si è loggati. Per impostazione predefinita, Facebook utilizza ora OAUTH2.0 per l'autenticazione. Tuttavia, i sistemi di autenticazione più anziani sono ancora supportati e viene utilizzato da centinaia di migliaia di applicazioni. Quando un utente visita apps.Facebook.com/AppName, Facebook invia prima la domanda di una quantità limitata di informazioni non identificabili sull'utente, come il proprio paese, località e fascia di età. Utilizzando queste informazioni, l'applicazione può personalizzare la pagina. La domanda deve quindi reindirizzare l'utente a una pagina di dialogo di autorizzazione, come si vede nella foto seguente.

L'applicazione utilizza un reindirizzamento sul lato client per reindirizzare l'utente alla familiare finestra di dialogo dell'autorizzazione richiesta. Questa perdita indiretta potrebbe accadere se l'applicazione utilizza un lascito di Facebook API e ha i seguenti cattivi parametri "return_session = 1" e "session_version = 3", come parte del loro codice di reindirizzamento, come si vede nella figura di seguito.

Se questi parametri vengono utilizzati, Facebook restiuisce successivamente il token di accesso, inviando una richiesta HTTP che contiene il token di accesso del URL per l'host dell'applicazione. L'applicazione Facebook è ora in grado potenzialmente di perdere inavvertitamente il token di accesso a terze parti e, purtroppo, molto spesso per caso. In particolare, questo URL, compreso il token di accesso, viene passato agli inserzionisti di terze parti come parte del campo referrer delle richieste HTTP. Ad esempio, se la prima pagina di questa applicazione ha richiesto risorse da un URL esterno utilizzando un tag iframe da un inserzionista, il token di accesso quindi verrà trapelato nel campo referrer. Questo è illustrato nella figura sotto.

Facebook ha confermato le perdite ed ha comunicato la modifica per evitare che questi gettoni di ottenere trapelato. Non vi è alcun buon modo per stimare i token di accesso già trapelati in quanto le domande di rilascio Facebook risalgono già nel 2007. Nishant Doshi e Wueest Candid di Symantec sono accreditati per la scoperta di questo problema. Symantec teme che molti di questi gettoni potrebbero essere ancora disponibili nei file di log dei server di terze parti o ancora attivamente utilizzati dai pubblicitari. Gli utenti di Facebook preoccupati possono cambiare le password Facebook per invalidare token di accesso trapelato. Cambiare la password invalida questi token ed è equivalente a "cambiare il blocco" sul vostro profilo Facebook. Facebook ha risposto, aggiornando la Developer roadmap per l’adozione di strumenti più sicuri.

Spam sulle bacheche degli utenti Facebook, guida alla risoluzione

Da qualche tempo, molti utenti di Facebook stanno vedendo le proprie bacheche riempirsi di post e aggiornamenti di status che apparentemente sembrano postati dagli stessi, ma che in realtà sono creati da bot. Se vedete pubblicato sul vostro profilo un post senza che l'abbiate creato volontariamente e i vostri amici vi contattano per chiedere delucidazioni, verosimilmente il vostro indirizzo email di caricamento mobile su Facebook viene utilizzato per inviare spam. Ciascun utente di Facebook ha la possibilità di utilizzare una email assegnata dal social network per pubblicare contenuti sul proprio profilo, utilizzando anche dispositivi mobili. L’oggetto dell’email verrà usato come didascalia della foto o del video o, se il messaggio non contiene foto e video, per aggiornare lo status.Per sapere quale sia il proprio indirizzo email di caricamento, occorre collegarsi a questa pagina su Facebook.

Inviando un messaggio a tale indirizzo ci sarà una pubblicazione automatica sulla propria bacheca. L'email di caricamento ha la forma codicealfanumerico@dominio, dove codicealfanumerico è un codice generato dal software di Facebook (composto da una serie di numeri + nomi), che identifica in maniera univoca un utente, e dominio è il nome DNS m.facebook.com che corrisponde alla versione mobile del social network. Il programma di Facebook che genera il codice alfanumerico utilizza parole e numeri sempre diversi, ma è possibile tramite dei programmi, provare un certo numero di combinazioni fino a riuscire a contattare molti utenti, del tutto ignari e sconosciuti. Per poi inviare in maniera automatizzata lo spam (messaggio + link) con la mail di caricamento mobile individuata.

Per catturare gli indirizzi e-mail vengono infatti utilizzati dei programmi automatici, che possiamo assimilare a degli spambot, capaci di generare gli indirizzi di email degli utenti. E dato che Facebook non effettua alcun controllo sul mittente del messaggio, chiunque può inviare un messaggio all'indirizzo segreto di un utente e pubblicare qualcosa a suo nome sulla propria bacheca. E qualche spammer è riuscito a trovare il sistema per sfruttare questa falla di sicurezza. Anche se non è stato violato l'account utente e dunque non si tratta di phishing, nè di applicazioni spam, chiunque può subire questo tipo di attacco. Si può riconoscere un post del genere dalla presenza della scritta "x ore fa tramite Internet Mobile" nell'ultima riga del minifeed.

Questo tipo di spamming è comunque un serio problema perché i messaggi veicolano dei link nascosti da Url accorciati che possono rimandare oltre a siti di prodotti con offerte promozionali, come nel caso che abbiamo analizzato, ma anche a siti internet riservati solo per un pubblico adulto o in altri casi anche virus e malware.

Per risolvere l'inconveniente occorre per prima cosa cancellare i post generati sulla bacheca (solitamente numerosi ed inviati a cadenza oraria) per evitare che qualche amico clicchi sul link proposto, convinto che siate stati voi a pubblicarlo. Subito dopo occorre resettare l'email segreta, generandone una diversa.

Per far ciò, cliccate su questo link e nella sezione Carica via e-mail, cliccate su Ulteriori informazioni, quindi su Aggiorna la tua e-mail di caricamento

e completare l'operazione cliccare sul pulsante Reset.

Questa operazione andrà fatta ogni volta che eventualmente si verificherà una situazione simile, fino a quando Facebook non troverà il modo di tappare questo non trascurabile bug di sicurezza. L'indirizzo email di caricamento personalizzato può essere utilizzato per inviare foto/video via email dal cellulare. I contenuti caricati verranno visualizzati nell'album Caricamenti dal cellulare. Poiché si tratta della email personale, con la quale i contenuti vengono inviati direttamente sull'account Facebook, il social network raccomanda di non condividerla con altri. Il nostro consiglio è quello di prestare sempre attenzione ai link condivisi dai vostri amici, soprattutto se camuffati da short url. Il rischio è anche quello di essere bannati dal sistema antispam di Facebook, che individuerà un'attività anomala (anche se involontaria) sulla vostra bacheca. Nel caso qualche amico ci fosse cascato, avvertitelo immediatamente delle conseguenze e consigliate questa procedura.

Facebook fà dietrofront e ripristina Like e Commenti per i post condivisi

Un aggiornamento della privacy di Facebook ha mandato in panico milioni di utenti del più famoso social network al mondo. Erano scomparsi infatti proprio quei pulsanti che servono ad interagire con i messaggi, i "post" degli amici. Milioni le proteste degli utenti che chiedevano a gran voce di poter commentare e dire la propria sulle pagine di Facebook. Molte le risposte di presunte soluzioni, che tuttavia sono risultate delle bufale. Ognuna di queste richiedeva, guarda caso, una modifica della privacy, che come risultato non faceva magicamente comparire i due "clic" sulla pagina, ma dava l'accesso ad estranei ai vostri contenuti personali.

Sono stati due giorni di caos quelli che hanno colpito Facebook. Un aggiornamento della privacy di Facebook ha mandato in panico milioni di utenti, infatti sono stati milioni gli utenti che si sono accorti che sotto ogni link erano spariti misteriosamente i tasti “Mi piace” e “Commenta”, ovvero proprio quelle attività che i milioni di utenti usano per interagire all'interno del social network di Mark Zuckerberg. Gli utenti così non hanno esitato a riempire le pagine di Facebook con migliaia e migliaia di link e pagine di protesta per chiedere agli sviluppatori di rimettere le cose a posto come prima.

Essere su un social network che non permette di commentare o apprezzare i link ma solamente condividerli è un social network che perde la sua natura, diventando "morto" e poco coinvolgente. Molti avevano proposto fantomatici metodi per riattivare le funzionalità, ma tutti si sono rivelati bufale o truffe, perchè la modifica non riguardava alcuna impostazione sulla privacy, bensì il codice di programmazione della piattaforma.

Con questa nuova politica introdotta dagli sviluppatori di Facebook, si cercava di evitare di raggiungare un indice di gradimento altissimo della pagine ottenendo numerosi "mi piace" pubblicando, a distanza di tempo, sempre lo stesso contenuto. Ma da qualche ora sembra che la situazione sia tornata normale e i pulsanti “mi piace” e “commenta” sono stati ripristinati sotto ogni tipo di link condiviso dagli utenti. Ciò che appare strano è che invece i link condivisi durante i famosi due giorni di disattivazione sono ancora sprovvisti dei due pulsanti e presentano solo quello “condividi”.

Il mistero ed i dubbi restano, dato che non vi sono comunicazioni ufficiali dal social network. Per coloro che sono caduti nelle trappole di sedicenti "maghi", consigliamo di rimuovervi dalle pagine che propongono metodi per la riattivazione delle funzionalità. Inoltre, chi ha seguito le istruzioni per modificare le impostazioni sulla privacy dei vostri post, consigliamo vivamente di riportarle alle considizioni precedenti, a tutela della vostra privacy.

Uno dei metodi proposti era quello di Accedere con il proprio account su Facebook / Cliccare su “Account” in alto a destra / Cliccare adesso su “Impostazioni della Privacy“ / All’interno della pagina che si aprirà, bisognerà cliccare su “Personalizza impostazioni“ / Scorrere la pagina sino a quando non spunterà l’opzione “Possibilità di commentare i post (Inclusi gli aggiornamenti di stato, i post sulla bacheca e le foto)” / Cambiare l’opzione selezionando “Tutti“ / Salvare e chiudere. Dunque effettuando lo stesso passaggio selezionate l'opzione su “Solo Amici“.

Come sempre il consiglio è quello di diffidare dalle pagine che promettono soluzioni dopo la condivisione su Facebook o il "Mi piace" alla pagina. Inoltre, alcune pagine attraverso Javascript, possono "rubare" le pagine di cui siete aministratori, e anche se potrebbe sembrare uno scherzo, non lo è. Facebook infatti da un po’ di tempo a questa parte soffre di una grave falla che permette a chiunque di diventare amministratore di qualsiasi pagina attraverso un procedimento che si attiva nel momento in cui un ignaro utente effettua un click all’interno di un link ben “programmato”. Dunque attenzione a ciò che vi viene proposto dentro e fuori il social network.

Un bug di Facebook permetteva di rubare i dati personali degli utenti

Facebook ha chiuso una grave vulnerabilità di sicurezza che avrebbe permesso a siti Web dannosi di leggere i dati personali da parte dei visitatori che avevano effettuato l'accesso al sito di social network. Il difetto è stato scoperto da due studenti di nome Wang Rui e Zhou Li, che hanno trasmesso tutte le informazioni utili insieme ad un proof-of-concept di attacco alla società.

Wang Rui e Zhou Li hanno comunicato di aver trovato una vulnerabilità che permetteva a siti Web dannosi di accedere ai dati privati di un utente di Facebook connesso con il proprio account senza il suo consenso. Secondo Rui e Zhou, è stato possibile per qualsiasi sito web di impersonare altri siti che fossero stati autorizzati ad accedere ai dati degli utenti come il nome, sesso e la data di nascita. Inoltre, i ricercatori hanno trovato un modo per pubblicare il contenuto sulle bacheche di Facebook degli utenti in visita (sotto le mentite spoglie di siti Web legittimi) - un modo potenziale per diffondere malware e attacchi phishig.

La pagina quindi inganna l'utente facendo credere di essere sul sito legittimo di Facebook (falsa finestra di dialogo dei permessi per le applicazioni, una caratteristica che la stragrande maggioranza degli utenti di Facebook utilizza), permettendo di accedere a informazioni personali dell'utente, come data di nascita o l'indirizzo email. I siti di YouTube, NYTimes, Farmville o ESPN sarebbero tutti degni candidati per l'attacco. Ecco un video su YouTube da Rui e Zhou, dove si dimostra che la vulnerabilità. (Nota: non c'è nessun suono sul video).

"La vulnerabilità consente al sito web "maligno" di impersonare altri siti web per ingannare Facebook, e ottenere le stesse autorizzazioni di accesso ai dati su Facebook che quei siti ricevono. Bing.com di default ha il permesso di accedere alle informazioni di base tutti gli utenti Facebook 'come il nome, sesso, ecc, quindi il nostro sito web "maligno" è in grado di de-anonimizzare gli utenti rappresentando Bing.com. Inoltre, a causa di esigenze di business, ci sono molti siti web chiede più permessi, compresi l'accesso ai dati privati di un utente, e la pubblicazione di contenuti su Facebook a nome suo. Pertanto, rappresentando questi siti, il nostro sito può ottenere le stesse autorizzazioni per rubare i dati privati o inviare messaggi di phishing su Facebook a nome dell'utente. L'exploit è generica, quindi non abbiamo bisogno di scrivere un exploit per ogni applicazione Facebook / sito web. L'unico parametro che ci serve è l'ID di applicazione di una applicazione Facebook / sito web."

L'esperto della società Sophos di sicurezza Graham Cluley è stato contattato dai due studenti circa la vulnerabilità. Cluley ha sperimentato la scorsa settimana su un sito di prova creato per lui da Zhou e Rui, ma non è riuscito ad imitare ciò che si vede nel video. Il sito web demo non è stato in grado di estrarre il nome del suo account Facebook di prova, visualizzando una finestra di "fallito" dialogo quando ha cercato di inviare un post sulla bacheca di Facebook. Probabilmente non ha funzionato perché l'esperto aveva applicato alcune impostazioni sulla privacy abbastanza rigide per il suo account di prova, e abbastanza sicuro ha provato nuovamente (dopo aver installato l'applicazione Facebook ESPN sul suo account di prova). In quel caso l'applicazione è stata in grado di estrarre il suo nome, l'indirizzo e-mail e postare un "link" malevolo apparentemente tramite l'applicazione.

La buona notizia è che gli studenti hanno praticato una divulgazione responsabile e informato il team di sicurezza di Facebook riguardo il difetto, piuttosto che rilasciare dettagli a tutti quanti su come sfruttare i profili degli utenti. Bug di divulgazione di informazioni di questo tipo spesso derivano da attacchi web-based, come cross-site scripting e falsificazione delle richieste cross-site. In questo caso, tuttavia, la vulnerabilità deriva da un bug in uno dei meccanismi di autenticazione di Facebook, ha spiegato Rui. 

"L'exploit è generico, quindi non abbiamo bisogno di scrivere un exploit per ogni applicazione Facebook / sito web. L'unico parametro che ci serve è l'ID app di una applicazione Facebook / sito web", hanno detto i due ricercatori. Facebook Security risposto con prontezza, e dovrebbe essere applaudito per la fissazione della vulnerabilità in tempi rapidissimi una volta che sono stati informati. I loro nomi sono stati aggiunti alla lista dei "ringraziamenti" sulla pagina Facebook di sicurezza.

I due ricercatori in precedenza hanno scoperto una serie di attacchi a canale laterale che coinvolgono applicazioni web. La vulnerabilità è stata confermata solo nei casi in cui un utente di Facebook avesse permesso le applicazioni. L'installazione di un lettore basato su browser Flash è un altro presupposto necessario per tirare fuori l'attacco. 

"Chiaramente il sito di Facebook è un complesso di software, ed è quasi inevitabile che le vulnerabilità e i bug vengano trovati di volta in volta", ha sottolineato Graham Cluley, senior technology consultant di Sophos e una delle persone che hanno avuto la possibilità di testare la vulnerabilità di prima mano. "Il rischio è aggravato dal fatto che ci siano così tante personali informazioni sensibili degli utenti trattenuti dal sito - mettendo potenzialmente molte persone a rischio", ha aggiunto. Noi consigliamo di prestare attenzione alle informazioni che condividete sul sito ed in particolare quando utilizzate un'applicazione. Il sito di  Facebook è già stato in passato affetto da vulnerabilità di sicurezza e per farsi un'idea è sufficiente andare a questo indirizzo.