Messaggi da falso Facebook Security minacciano la disattivazione account

Un nuovo tentativo di phishing sta facendo il giro di Facebook. In queste ore alcuni utenti hanno segnalato la ricezione di messaggi che sembrerebbero inviati dal team di sicurezza del social network e nei quali viene minacciata la disattivazione del loro account per una presunta violazione dei termini di servizio di Facebook. Come in altre truffe descritte recentemente, l'utente potrebbe ricevere un messaggio sul social network proveniente da un falso profilo che recita testualmente:

E-mail e numero telefono degli utenti Facebook per annunci pubblicitari?

Da settembre, Facebook ha offerto ai propri inserzionisti un nuovo potente strumento per tracciare i suoi utenti mentre navigano sul Web: si chiama "phone number retargeting". La mossa arriva separatamente, dopo lo sforzo di Facebook all'inizio di quest'anno di raccogliere i numeri di cellulare dei propri utenti per prevenire possibili violazioni della sicurezza. Alcuni, poi, hanno dovuto inserirlo obbligatoriamente, per riattivare, ad esempio, i loro account dopo una segnalazione come profilo falso.

Più di recente, secondo AdExchanger, Facebook ha inoltre sviluppato un nuovo "conversion pixel" - fondamentalmente un tipo di dispositivo di localizzazione - all'interno di annunci visualizzati su Facebook. La combinazione di phone retargeting e conversion pixel permette teoricamente agli inserzionisti di indirizzare direttamente gli annunci agli utenti e poi misurare esattamente come rispondono ad essi, sia facendo clic, ignorando, o acquistando qualcosa dal sito dell'inserzionista.

Il processo è anonimo, nel senso che gli inserzionisti non possono identificare per nome. Il punto è, come sottolinea Business Insider, che ci si rivolge, sulla base di numero di telefono. Alcuni inserzionisti hanno fatto questo genere di cose su altri siti per anni. Ma la maggior parte degli utenti di Facebook non sanno che cosa sta succedendo all'interno di Facebook. Il motivo principale per cui Facebook richiede agli utenti un numero di telefono cellulare è quello di prevenire la pirateria informatica dell'account.

All'inizio di quest'anno, Facebook ha cominciato a chiedere a ciascun utente un numero di telefono per scopi di "sicurezza".  Ecco cosa dice Facebook a tal proposito nelle Faq del suo centro assistenza: "Si tratta di una misura di sicurezza volta ad assicurare che Facebook continui ad essere una comunità di persone che usano le proprie identità reali per connettersi tra loro e condividere elementi. Se dovessi perdere la tua password in futuro, potrai usare anche il tuo numero di cellulare per accedere al tuo account".

Facebook ha dichiarato che questi numeri, non vengono venduti agli inserzionisti. Piuttosto, il social network raccoglie anche "i numeri di telefono quando sono entrati in altre parti  dove si utilizzano le informazioni degli utenti relative all'account". Questi numeri vengono poi messi a disposizione degli inserzionisti come parte del suo nuovo Custom Audience targeting product, che consente alle aziende di ristabilire il contatto con i clienti esistenti o contatti, e sono il collegamento tra i sistemi di gestione delle relazioni con i clienti.

L'Audience può essere definito da una e-mail indirizzo utente, UID di Facebook, o numeri di telefono degli utenti. Ecco come funziona: ipotizziamo che siete un iscritto alla vostra locale palestra. Probabilmente la palestra ha il vostro numero di telefono. Ma poi la lasciate per un certo periodo di tempo, e ora la palestra vuole convincervi a tornare. La palestra può incrociare il suo elenco di utenti con i numeri di telefono degli utenti di telefono su Facebook, e servire un annuncio sulla pagina di qualsiasi utente con un numero corrispondente.

Improvvisamente, si vedranno gli annunci che dicono: "10% di sconto se raggiungi la palestra locale!" Gli inserzionisti possono abbinare ad una campagna con gli annunci che portano un conversion pixel, che consentirà ad un "cookie" di monitorare ciò che si fa in modo che la palestra può vedere quanto successo ha ottenuto la sua campagna Ads. C'è un livello di privacy costruito nel sistema: anche se il vostro numero di telefono sarà destinatato da annunci, il numero sarà "hash", nel senso che il sistema si traveste sostituendolo con codice casuale, che lo rende anonimo.

Così la palestra potrebbe avere un target di 100 numeri di telefono, ma non si sa quale di quelle persone specifiche effettivamente hanno risposto all'annuncio (fino a che non pagherete per un iscrizione online, ovviamente). La palestra saprà che un certo numero ha risposto all'annuncio, e che gli utenti sono sulla lista telefonica originale. Dunque l'azienda non conosce il vostro nome e cognome. Il tutto è stato reso possibile dall'aggiornamento delle Policy della piattaforma poco prima dell'Ipo che ha lanciato la società in borsa.

Messaggi phishing da falso Facebook Security avvisano violazione Policy

Ennesimo tentativo di phishing su Facebook ai danni degli utenti. Da qualche ora, infatti, alcuni iscritti al social network stanno ricevendo dei falsi messaggi in posta dove si avvisa che il loro account è stato segnalato per violazione delle Termini e Condizioni d'uso di Facebook. Nel messaggio è allegato un link che rimanda ad una pagina esterna al social network che propone un sistema per verificare l'account. Dopo che l'utente fa clic sul link, vengono raccolte informazioni per impossessarsi del profilo Facebook, e-mail e carte di credito.

Facebook mostra avviso di sicurezza McAfee a utenti che visitano siti esterni

In queste ore molti utenti di Facebook stanno segnalando la presenza di un avviso di sicurezza del social network, nel momento in cui cliccano su un link che li rimanda ad un sito esterno alla piattaforma. Nel messaggio "interstiziale" (parte in inglese e parte in italiano) si avvisano in sostanza gli utenti di prestare attenzione nel visitare il sito e si consiglia di installare il plug-in di sicurezza McAfee. Nel messaggio si includono, inoltre, i link che rimandano alla pagina di Facebook Security e a quella di Wikipedia su malware e phishing. Nell'avviso, in particolare, si legge testualmente:

"The link you are trying to visit has been classified as potentially abusive by a Facebook partner. Per saperne di più sulla sicurezza in Internet, visita la Pagina dedicata alla ‎Protezione‎ di Facebook. Leggi anche gli articoli di Wikipedia su ‎malware‎ e ‎phishing‎. To stay safe outside Facebook, get the ‎free ‎McAfee SiteAdvisor‎ plug-in‎ Protection provided in collaboration with ‎McAfee SiteAdvisor‎. ‎Maggiori informazioni‎ Ignora questo avvertimento"

Che tradotto: "Il link che si sta tentando di visitare è stato classificato come potenzialmente abusivo da un partner di Facebook. Per saperne di più sulla sicurezza in Internet, visita la Pagina dedicata alla ‎Protezione‎ di Facebook. Leggi anche gli articoli di Wikipedia su ‎malware‎ e ‎phishing‎. Per stare al sicuro al di fuori di Facebook, ottenere il gratuito McAfee SiteAdvisor plug-in Protection fornito in collaborazione con McAfee SiteAdvisor."

L'avviso interstiziale è possibile che venga visualizzato anche navigando con browser mobile (ad esempio Safari) da smartphone e tablet. Durante la navigazione desktop abbiamo notato comunque che il messaggio viene presentato soprattutto utilizzando il browser Mozilla Firefox, mentre non abbiamo ricevuto (fino adesso) nessun messaggio utilizzando Google Chrome. Un link d'esempio che mostra l'avviso di sicurezza è possibile ottenerlo cliccando su http://on.fb.me/VsW5cG.

Chiariamo che un tal avviso non significa necessariamente che si tratta d'una pagina esterna pericolosa. L'accesso ai siti ritenuti dal sistema di sicurezza al 100% di phishing o malware viene bloccato e Facebook non permette l'uscita dalla piattaforma. Anzi, non di rado avviene il contrario e cioè che pagine pericolose non sono segnalate e viceversa si. Le cause possono essere diverse: ad esempio se sul sito o blog sono presenti banner pubblicitari (ci sono pervenute segnalazioni di avvisi ricevuti anche sul sito ufficiale di YouTube).

Ma il motivo principale è imputabile al sito che non è stato "verificato". Il sistema, infatti utilizza McAfee Site Advisor, un software gratuito di protezione che segnala attraverso icone intuitive il parere di McAfee e della sua community sul grado di sicurezza di un sito prima dell'accesso. Il problema è che segnala anche quelli "sconosciuti" cioè non ancora verificati (si possono comunque inviare le opinioni cliccando sul link incluso nell'avviso, ad esempio qui http://mcaf.ee/oia1g per un nostro post.

L'avviso interstiziale Facebook di sicurezza utilizzava inizialmente WOT in seguito alla partnership stretta lo scorso anno con la comunità Websense. Successivamente McAfee ha stretto accordi con Facebook, fino all'introduzione Facebook Antivirus Marketplace. Come possiamo leggere alla pagina di verifica di McAfee www.siteadvisor.com/sites/protezioneaccount.com, (ma si può effettuare la verifica anche per altri aggiungendo all'indirizzo www.siteadvisor/sites/ l'URL del sito)  sul nostro "non sono stati individuati problemi significativi".

Alcuni siti o blog però, con basso numero di visite (o comunque poco noti rispetto, ad esempio, ad importanti testate giornalistiche), possono non "ricevere" l'icona verde e restare in grigio in attesa di eventuali opinioni positive o negative da parte degli utenti. E' verosimile che Facebook abbia innalzato il livello di sicurezza in seguito al proof-of-concept che mostra una falla nel sistema. Inoltre, è verosimile che Facebook voglia promuovere il componente aggiuntivo per browser di McAfee.

Su Chrome il messaggio non viene visualizzato probabilmente perchè McAfee Site Advisor non è ancora compatibile con il browser di Google. Non possiamo consigliarvi di ignorare il messaggio a priori, ma è ovvio che se il link proviene da Pagine Facebook conosciute e comunque che visitate spesso, non avete nulla di cui preoccuparvi: ignorate l'avviso e proseguite, il sistema apprenderà la vostra scelta. Restano comunque i consigli di sempre e cioè di prestare attenzione quando ricevete link in posta o condivisi sulla vostra bacheca Facebook.

Facebook lancia l'indirizzo e-mail Phish@fb.com per segnalare il phishing

Quasi tutti gli utenti li hanno visti, quei fastidiosi annunci di phishing e spam cliccabili nel News Feed di Facebook o pubblicate sulle bacheche degli amici del social network: "Ottieni biglietti gratuiti per la Giamaica", "Vinci un iPad gratis" o "Amico, ho urgentemente bisogno di soldi". Lo scam è stata la rovina dell'esistenza di Facebook per anni, e oggi il social network ha annunciato che sta facendo un nuovo tentativo per bloccare queste pratiche, lanciando un indirizzo e-mail phish@fb.com, a cui gli utenti possono inviare gli avvisi di phishing che hanno visto sul social network.

"Oggi Facebook è orgogliosa di annunciare il lancio di phish@fb.com, un indirizzo di posta elettronica a disposizione del pubblico per segnalare tentativi di phishing contro Facebook. Il phishing è un tentativo di acquisire informazioni personali, quali nome utente, password o informazioni finanziarie per rappresentazione o spoofing. Fornendo a Facebook i rapporti, saremo in grado di indagare e chiedere di aggiungere il sito alla lista nera del browser e il suo takedown ove opportuno", ha scritto Facebook Security in una nota sulla sua pagina.

"Ci sarà poi da lavorare con il nostro team di eCrime per essere certi di individuare i cattivi attori responsabili. Inoltre, in alcuni casi, saremo in grado di identificare le vittime, e proteggere i loro account. Anche se rare, speriamo che ci trasmetterete tutti i tentativi di phishing che si incontrano. Insieme possiamo contribuire a segnalare questi siti dal web e individuare i cattivi responsabili"; conclude Facebook Security. Uno dei problemi maggiori dei social network e soprattutto di Facebook, riguarda la grande quantità di spam e di truffe veicolate.

Il social network ha anche suggerito agli utenti trasmettere e-mail sospette all'Anti-Phishing Working Group (APWG), all'indirizzo di posta elettronica reportphishing@antiphishing.org. L'APWG è un'associazione nata con l'obiettivo di combattere il furto d'identità in Rete e il dilagare dei fenomeni di phishing e di email-spoofing. L'organizzazione è aperta a provider, vendor, ISP, istituti finanziari, professionisti del settore ed autorità giudiziarie. Inoltre è possibile segnalare alla Federal Trade Commission (FTC), inviando le e-mail all'indirizzo spam@uce.gov, e l'Internet Crime Complaint Center (IC3).

L'Anti-Phishing Working Group in partnership con Facebook, ha delineato dei suggerimenti per aiutare gli utenti a individuare gli attacchi di phishing: diffidare di qualsiasi email con richieste urgenti di accesso o informazioni finanziarie, e ricordare, a meno che l'e-mail non sia stata firmata digitalmente, che non si può essere certi che non sia modellata ad hoc o falsa; non utilizzare i link inviati in una e-mail, instant message, o chat per raggiungere qualsiasi pagina web se si sospetta che il messaggio potrebbe non essere autentico o non ci si fida del mittente, invece andare al sito direttamente.

Questo nuovo canale di comunicazione completa ed integra i sistemi interni che Facebook ha in atto per individuare i siti di phishing che tentano di rubare le informazioni degli utenti al momento del Facebook login. I sistemi interni lo comunicano al team di sicurezza, in modo da poter raccogliere informazioni sull'attacco, mettere i siti di phishing offline, e avvisare gli utenti. Agli utenti interessati verrà richiesto di modificare la propria password e saranno forniti consigli per proteggersi meglio in futuro. Come promemoria, è possibile visitare il sito www.facebook.com/hacked se pensi che il vostro account potrebbe essere stato compromesso. Potete trovare ulteriori informazioni sul phishing nel Centro assistenza di Facebook.

Facebook spiega il funzionamento dello strumento di report dei contenuti

Facebook ha mostrato per la prima volta un aspetto del complesso sistema che utilizza per sorvegliare i suoi 901 milioni di utenti della rete sociale, per tentare di mantenerla libera da contenuti che ritiene offensivi, illegali o semplicemente inappropriati. Vi siete mai chiesti cosa succede quando l'attività indesiderata viene segnalata su Facebook, come foto esplicite, odio o account hackerati? Facebook vuole rende più facile agli utenti capire che cosa fa quando vengono effettuate delle segnalazioni con la pubblicazione della Reporting Guide e l'Infografica.

"In Facebook manteniamo una solida infrastruttura che consenta alle nostre oltre 900 milioni di persone della comunità di aiutarci ad applicare i nostri criteri utilizzando i link del report che si trovano in tutto il sito. Mentre è improbabile che vi si siano problemi con i contenuti del sito, potrebbe non essere sempre chiaro che cosa accade una volta che si decide di fare clic su 'Segnala'. Oggi, siamo lieti di pubblicare una guida che darà alle persone che utilizzano Facebook visione più nel nostro processo di reporting", annuncia Facebook Safety in un post sulla pagina.

Ci sono team di Facebook in tutto il mondo che si dedicano 24 ore al giorno, sette giorni alla settimana alla gestione delle segnalazioni effettuate al social network.  "Centinaia di dipendenti di Facebook sono in uffici in tutto il mondo per assicurare che una squadra di Facebooker stia gestendo le relazioni in ogni momento. Per esempio, quando la squadra User Operations in Menlo Park sta finendo la giornata, le loro controparti in Hyderabad stanno appena iniziando il loro lavoro mantenendo il nostro sito e gli utenti al sicuro", aggiunge Facebook Safety.

"E non dimenticate, - prosegue Facebook - con gli utenti di tutto il mondo, Facebook gestisce i rapporti in oltre 24 lingue. Strutturare le squadre in questo modo ci permette di mantenere una copertura costante delle nostre code di supporto per tutti i nostri utenti, indipendentemente da dove si trovino". Al fine di esaminare in modo efficace le relazioni, le operazioni degli utenti (UO) sono suddivisi in quattro gruppi specifici per alcuni tipi di revisioni dei rapporti - il team di sicurezza, il team di odio e le molestie, il team di accesso, e il team di contenuti offensivi.

Quando una persona segnala un contenuto, a seconda del motivo del loro rapporto, si andrà ad una di queste squadre. Ad esempio, se sono stati segnalati contenuti che Facebook ritiene contengano immagini di violenza, il team di sicurezza esaminerà e valuterà la relazione. Facebook ha recentemente lanciato la Dashboard di supporto che permette di tenere traccia di alcune di queste relazioni. Se una di queste squadre determina che un contenuto segnalato sta violando le politiche di Facebook o la sua Dichiarazione dei diritti e delle responsabilità, il team lo rimuoverà e metterà in guardia la persona che lo ha postato.

Inoltre, si può anche revocare la capacità di un utente di condividere determinati tipi di contenuti o di utilizzare alcune funzionalità, disattivare l'account di un utente, o, se necessario, rinviare le questioni alle forze dell'ordine. Facebook ha anche delle squadre speciali che gestiscono solo i ricorsi degli utenti per i casi in cui potrebbe aver commesso un errore. Contenuti che violano le nostre norme comunitarie è stato rimosso. Tuttavia ci sono situazioni in cui qualcosa non viola i termini di Facebook, ma la persona desidera che venga rimossa.

In passato, persone che hanno riportato tali contenuti non hanno visto nessuna azione quando non vengono violate le policy. A partire dall'anno scorso, Facebook ha lanciato dei sistemi per permettere alle persone di impegnarsi direttamente uno con l'altro per risolvere meglio i loro problemi al di là del semplice blocco o rimozione dell'amicizia (unfriend) di un altro utente. Di particolare rilievo, è il reporting social tool che permette alle persone di entrare in contatto con altri utenti o amici di fiducia per contribuire a risolvere il conflitto o aprire una finestra di dialogo su un pezzo di contenuto.

Non è solo la squadra User Operations di Facebook che fornisce il supporto alle persone che utilizzano il servizio, ma anche gli ingegneri che costruiscono strumenti e flussi per aiutare l'utente ad affrontare i problemi comuni e restituire il controllo dell'account più velocemente. In alcune rare occasioni, gli utenti potrebbero perdere l'accesso ai loro account dopo aver dimenticato la password, perso l'accesso alle loro e-mail o hanno il proprio account compromesso. Per aiutare queste persone Facebook ha costruito ampi punti di controllo on-line per riottenere l'accesso.

Utilizzando i punti di controllo on-line Facebook è in grado di autenticare l'identità in modo sicuro e veloce, questo significa che non c'è bisogno di aspettare lo scambio di e-mail con un rappresentante di Facebook prima di poter ripristinare l'accesso all'account o ricevere una nuova password. Non dimenticate di visitare www.facebook.com/hacked se ritenete che il vostro account sia stato compromesso oppure utilizzare i link di report per far conoscere a Facebook un profilo Timeline impostore.

Facebook lavora anche a stretto contatto con una vasta gamma di esperti e gruppi esterni. Queste partnership includono il Safety Advisory Board che aiuta Facebook a consigliare su come mantenere al sicuro i suoi utenti e la National Cyber Security Alliance che aiuta il sito a educare le persone a mantenere i propri dati e gli account sicuri. Oltre a questo Facebook si appoggia sulle competenze e le risorse di oltre 20 agenzie di prevenzione dei suicidi in tutto il mondo, in Australia, Gran Bretagna, Hong Kong e India, nonhcè il Network di supporto Facebook. Per scaricare l'intera infografica cliccate qui.

Trend Micro, strumenti di hacking in Rete per rubare password Facebook

Durante il monitoraggio dei dati dello Smart Protection Network ™, gli esperti di Trend Micro hanno notato un file sospetto dal sito web http://{BLOCCATO}bookhacking.com/FacebookHackerPro_Install.exe. L'osservazione del nome a dominio, suggerisce che ospita uno strumento di hacking per il sito di social networking Facebook. "Quando ho controllato, il file è presumibilmente in grado di ottenere la password Facebook", scrive Rodell Santos, treat analyst di Trend Micro.

In base all'analisi del file di installazione, questo si comporta come un normale programma di setup che mostra il contratto di licenza ad un utente finale (EULA) e offre agli utenti la possibilità di salvare il programma nella sua cartella preferita. L'installazione del file di setup elimina il pericoloso file "Toolbar.exe" nella cartella temporanea degli utenti a loro insaputa. Una volta installato, viene visualizzata una finestra che richiede agli utenti di codificare l'indirizzo e-mail o il Facebook ID di destinazione del loro account Facebook:

Il sistema adottato è molto simile al kit fai da te per rubare la password Facebook diffuso quasi 2 anni fa e che permette di creare trojan personalizzati per il furto delle credenziali di accesso. Per apparire legittimo, il programma attuale mostra anche una finestra per indicare che la richiesta è in corso. Dopo aver atteso 2-5 minuti, gli utenti vengono informati che la password desiderata è stata trovata:

Ora per la parte interessante: per acquisire la password, gli utenti devono acquistare una chiave di prodotto, che costa 29.99 dollari. Se gli utenti scelgono di acquistare un prodotto chiave, vengono rimandati al sito http://{BLOCCATO}bookhacking.com/p/unlock. Una volta acquistata, agli utenti viene nuovamente richiesto di codificare l'indirizzo e-mail o ID Facebook. Dal momento che la chiave è stata già rilevata, il programma mostra ora la seguente schermata:

"Ma come ha fatto il programma ad ottenere questo? Semplice: il programma ha scaricato e utilizzato un'applicazione gratuita di terze parti, progettata per recuperare e visualizzare le password salvate nella cache del browser locale degli utenti", spiega Santos. Così, il recupero delle credenziali funzionerà solo per gli utenti che dispongono di password memorizzate nei loro sistemi.

L'applicazione di terze parti viene utilizzata legittimamente per il recupero delle password, ma in questo caso è stata usata maliziosamente per l'attacco di hacking. Trend Micro rileva il programma canaglia come SPYW_FAKEHACK , mentre il file dropped "Toolbar.exe" come ADW_PLUGIN. Sarah Calaunan, fraud analyst di Trend Micoro, ha scoperto anche un altro strumento di hacking per Facebook che viene spacciato sul sito qui sotto:

Gli utenti, una volta che scaricano ed esegueno questo strumento (rilevato come TROJ_DROPPER.ZGD), è il drop del file dannoso (rilevato come TROJ_VBINJECT.XG). Il file eliminato è un keylogger che si aggancia ad alcune API, ruba informazioni dal sistema infetto, e invia le informazioni rubate a un URL specifico. Alcuni utenti di Internet possono essere attirati nei download di questi strumenti, come promessa di accesso alla password Facebook di qualcuno senza il loro consenso.

Per fortuna, al posto della password attuale, gli utenti che scaricano quest'ultimo strumento di hacking acquisiscono una password diversa e finiscono per pagare un servizio fasullo. Trend Micro protegge gli utenti da questa minaccia atttraverso Smart Protection Network™, che impedisce l'accesso ai siti che ospitano tali strumenti di hacking. Rileva ed elimina anche il malware relativo dal sistema. A causa dei suoi 901 milioni di utenti, Facebook è un obiettivo naturale per le attività di criminalità informatica.

Hotmail: violati account tramite password reset, Microsoft patcha vulnerabilità

Microsoft avrebbe risolto una grave vulnerabilità in Hotmail, che permetteva agli hacker di reimpostare le password degli account, bloccando il vero proprietario dell'account e dando gli aggressori l'accesso alle caselle di posta degli utenti. La notizia del bug critico si è diffusa rapidamente nei forum metropolitani di hacking, e Whitec0de ha riportato all'inizio di questa settimana che gli hacker offrivano la possibilità di entrare in un account Hotmail per 20 dollari. Sembra che la vulnerabilità esisteva nella funzione di reset della password di Hotmail (https://account.live.com/ResetPassword.aspx)

Gli hacker erano in grado di utilizzare un add-on Firefox chiamato Tamper Data per bypassare le protezioni normali messe in atto per proteggere gli account Hotmail. L'exploit è stato scoperto da un hacker in Arabia Saudita che è un membro del forum sulla sicurezza popolare dev-point.com. A quanto pare l'exploit è trapelato sui forum di dark-web hacking. Tutto l'inferno si è scatenato quando un membro di un forum molto popolare di hacking ha offerto il suo servizio che può hackerare 'qualsiasi' account e-mail entro un minuto. "L'exploit si è propagato a macchia d'olio in tutta la comunità degli hacker.

Molti utenti che hanno legato il loro account di posta elettronica ai servizi finanziari come Paypal e Liberty Reserve sono stati presi di mira e il denaro saccheggiato via. Mentre molti altri hanno perso i loro account Facebook e Twitter", spiega Ed Bot di ZDnet. Un rapporto pubblicato da Vulnerability-Lab ha descritto la vulnerabilità e ha fornito un calendario per la divulgazione e la correzione. Il bollettino ha valutato la gravità come "Critica", sulla base di questa descrizione:

"Una vulnerabilità critica è stata trovata nella funzionalità ufficiale di password reset del servizio ufficiale MSN Hotmail di Microsoft. La vulnerabilità permette ad un aggressore per ripristinare la password Hotmail / MSN con i valori scelti dall'attaccante. Gli aggressori remoti possono bypassare il servizio di recupero password per impostare una nuova password e bypassare le protezioni poste (token based). Il token di protezione controlla solo se il valore è vuoto poi blocca o chiude la sessione web. Un attaccante remoto può, ad esempio aggirare il token di protezione con valori '+ + +)-'. Il successo dello sfruttamento dei risultati danno l'accesso non autorizzato all'account MSN o Hotmail. Un utente malintenzionato in grado di decodificare il CAPTCHA e inviare i valori automatizzati nel modulo di MSN Hotmail".

Il bollettino dice che Microsoft ha risolto la vulnerabilità il 20 aprile 2012, anche se la notizia è stata diffusa nelle scorse. La linea temporale più dettagliata mette il Fix / Patch data del vendor il giorno successivo:

Report-Timeline:
================

• 2012/04/06: Notifica Ricercatore e Coordinamento 
• 2012/04/20: Notifica fornitore da conferenza VoIP
• 2012/04/20: Risposta del fornitore / Feedback 
• 2012/04/21: Fix Vendor / Patch 
• 2012/04/26: divulgazione al pubblico o non pubblico

Durante almeno una parte di quel gap di due settimane, la vulnerabilità è stata ampiamente sfruttata, dichiara una fonte. L'exploit in sé era molto semplice. Secondo il rapporto esso consisteva nell'utilizzare una add-on per Firefox chiamato Tamper Data che permette all'utente di intercettare la richiesta HTTP in uscita dal browser in tempo reale e modificare i dati. Tutto ciò che l'attaccato doveva fare era quello di selezionare l'opzione "Ho dimenticato la mia password" e selezionare "Invia a me un link reset" e avviare i Tamper Data in Firefox e modificare i dati in uscita.

Numerosi i video di YouTube che hanno dimostrato il proof of concept per ottenere l'accesso agli account Hotmail. Secondo alcuni rapporti, gli hacker marocchini hanno attivamente approfittato della vulnerabilità e pianificato per reimpostare le password di un elenco di 13 milioni di utenti Hotmail in loro possesso. Ciò che non è noto è quali account di Hotmail dei 350 milioni di utenti potrebbero essere stati influenzati dalla grave vulnerabilità di sicurezza, Microsoft infatti non lo ha reso noto.

Il pericolo potrebbe essere ancor maggiore nel caso in cui l’account Hotmail fosse utilizzato per i servizi Windows Live o per l'accesso a Facebook. "Ma se siete preoccupati, c'è un modo semplice per controllare. L'account Hotmail hackerato avrebbe avuto la propria password cambiata, quindi se non siete più in grado di accedere al vostro account Hotmail è possibile (anche se tutt'altro che definitiva - ci possono essere altre ragioni, naturalmente) che il vostro account di posta elettronica è stato vittima di questo tipo di attacco", spiega Graham Cluley di Sophos. Se si riesce ad accedere al proprio account senza problemi, significa che non si è rimasti vittima dell’attacco.

Check Point: Facebook è obiettivo primario di criminalità informatica

Con più di 800 milioni di utenti, Facebook è senza dubbio la piattaforma dominante del social networking nel mondo. La popolarità del social network e la crescita veloce lo rendono un obiettivo primario per i criminali informatici. Check Point Software Technologies ha pubblicato l'infografica di come avvengono gli attacchi su Facebook, utilizzando le informazioni più recenti e aggiornate, e cosa si può fare per stare al sicuro. Gli utenti del sito tendono a cliccare sui link senza pensarci due volte prima di farlo, facendo di Facebook un ambiente maturo per il fiorire di malattie digitali. Sono 4 milioni gli utenti di Facebook che hanno avuto esperienza giornaliera di spam sul social network. Il 20 per cento dei link nel news feed scaricano virus o riportano a siti che sottraggono le informazioni personali con l’inganno e 600.000 sono gli account compromessi giornalmente, in media 7 login al secondo. Checkpoint consiglia agli utilizzatori:

1. Creare una password complessa
2. Non accettare richieste d'amicizia da sconosciuti
3. Monitorare cosa i vostri amici condividono e vi inviano
4. Utilizzare la navigazione protetta HTTPS
5. Non cliccare su link sospetti
6. Scaricare un software di protezione specifico per Facebook [*]

[*] ZoneAlarm SocialGuard (download) da Check Point Software Technologies è un programma per Windows che permette ai genitori di monitorare le attività dei bambini su Facebook per verificare se sono vittime di bullismo, amicizie da estranei, o si impegnano in attività online potenzialmente pericolose. Per i genitori che vogliono monitorare il profilo dei loro bambini, il bambino deve accedere una sola volta con il proprio nome utente e la password di Facebook. La password non viene trasmessa al genitore e il genitore non può effettivamente vedere il profilo del bambino o che cosa sta inviando. Invece riceverà avvisi su qualsiasi cosa che il software considera sospetto. Richiedere al bambino o all'adolescente di accettare di essere controllati non solo protegge la privacy, ma contribuisce ad incoraggiare la conversazione tra il genitore e il bambino, secondo Abdul Bari, vicepresidente del reparto vendite di Check Point e genitore di tre figli.

Con questo programma, i genitori possono controllare i propri figli senza dover esserne necessariamente amici. Alcuni bambini trovano imbarazzante avere un genitore che appare nella propria lista amici. Il programma analizza tutti gli amici per vedere se sembrano essere "socialmente separati", il che significa che ci sono pochi o niente amici comuni. Analizza anche a profilo di ciascun amico per cercare di determinare se la persona può mentire sulla propria età. Il programma cerca anche certe parole che potrebbero essere associati con il bullismo o attività pericolose e se incontra ripetutamente parole o link associati a sesso, droga, alcool, suicidi, gioco d'azzardo, pirateria informatica, odio, violenza e altre minacce, invia un avviso ai genitori. I genitori possono aggiungere le loro stesse parole a cui fare attenzione per certi tipi di insulti etnici o sessuali o qualsiasi altra cosa che li preoccupa.

I genitori possono anche inserire il numero di telefono dei propri figli e l'indirizzo per essere avvisati e vedere nei post. In una intervista a ZDNet, Abdul ha detto che lui e la sua "lotta con il modo di gestire l'indipendenza che noi diamo a loro e allo stesso tempo monitora le loro abitudini sui sociali media". Come genitore, Abdul ha riconosciuto che molti dei bambini iscritti a Facebook hanno meno di 13 anni che, secondo i termini di servizio di Facebook, non sono autorizzati a essere iscritti sito. Studi separati sia negli Stati Uniti che in Europa hanno dimostrato che un numero considerevole di bambini sotto i 13 sono tra gli oltre 800 milioni di utenti Facebook. Nel 2010 un studio commissionato da McAfee ha rilevato che il 37 per cento degli utenti negli Stati Uniti da 10 a 12 anni sono su Facebook e il recente studio UE Kids Online ha rilevato che il 38 per cento degli europei tra 9 e 12-anni "usano siti di social networking ed uno su cinque ha un profilo su Facebook".

A proposito di Check Point Software Technologies Ltd.

Check Point Software Technologies Ltd. (www.checkpoint.com), è leader mondiale nella sicurezza Internet, fornisce ai clienti protezione senza compromessi contro tutti i tipi di minacce, diminuisce la complessità e riduce i costi totali di proprietà. Check Point è il pioniere nel settore con il FireWall-1 e la sua tecnologia brevettata stateful inspection. Oggi, Check Point continua a sviluppare nuove innovazioni basati sull'architettura Software Blade, fornendo ai clienti soluzioni flessibili e semplice che possono essere completamente personalizzati per soddisfare le esatte esigenze di sicurezza di qualsiasi organizzazione. Check Point è l'unico vendor che và oltre la tecnologia e definisce la sicurezza come un processo aziendale. Check Point 3D Security combina in modo unico la politica, le persone e l'esecuzione per una maggiore protezione del patrimonio informativo e aiuta le aziende a implementare un progetto per la sicurezza che si allinea con le esigenze aziendali. I clienti comprendono decine di migliaia di organizzazioni di ogni dimensione. Le premiate soluzioni ZoneAlarm di Checkpoint proteggono milioni di consumatori da hacker, spyware e furti di identità.

Amico Facebook di chiunque e profilo hackerato con trusted friends

Un ricercatore brasiliano ha dimostrato che è possibile ed anche semplice, diventare "amico" praticamente di chiunque su Facebook in 24 ore o meno. Creare un nuovo profilo clonando il profilo di qualcuno vicino al bersaglio, poi utilizzare il profilo di un amico degli amici del target e alla fine anche lui il bersaglio o se stesso. Anche se l'obiettivo non è accettare di essere amico, sarete ancora in grado di vedere le informazioni disponibili solo per "amici degli amici", probabilmente molto più di quanto sia disponibile pubblicamente. Questo exploit di ingegneria sociale mostra come le informazioni personali siano facilmente accessibili da quegli individui con target specifico e disposti a investire un pò di tempo.

La tecnica è insolita e va completamente contro le condizioni di utilizzo di Facebook, ma questo non ferma chi vuole raggiungere il proprio scopo. Il ricercatore di sicurezza e comportamento online Nelson Neto Novaes ha progettato un esperimento per vedere se poteva avere l'amicizia a una donna che lavora nella sicurezza Web, con l'esperimento che chiama "SecGirl". Il suo obiettivo era quello di essere aggiunto come suo amico entro 24 ore. Lo ha raggiunto in solo 7 ore. Per avvicinarsi a SecGirl, Novaes ha letteralmente clonato il profilo di una persona molto vicino alla donna, il suo manager. Usando questo profilo clonato, ha chiesto l'amicizia di amici di amici del boss. In solo un'ora, sono state accettate 24 su 432 richieste.

La cosa straordinaria è che il 96% delle persone che hanno accettato la richiesta di amicizia avevano già il vero proprietario del profilo nella loro lista di amici. La stessa persona è stata aggiunta alla lista dei loro amici due volte, perché non erano a conoscenza del profilo falso. Nell'ora successiva, il ricercatore ha chiesto l'amicizia degli amici del manager. Da 436 applicazioni, il profilo di falso è stato accettato nuovamente da più di 14 persone, tutti avevano il profilo originale nel proprio elenco dei contatti e hanno aggiunto il clone. In poco più di due ore, il manager ha accettato la richiesta di amicizia del profilo che è stato clonato da Novaes. SecGirl ha aggiunto il profilo clonato del direttore come un amico in ore 7 mezza dall'esperimento.

Can I be your friend? How Amazon, LinkedIn and the "new" Facebook privacy issues can help me become your friend. A Behavioral Psychology and Security view of social networks

View more presentations from Nelson Neto

A quel punto, il profilo aveva accumulato abbastanza amici e amici degli amici che appariva legittimo. SecGirl probabilmente acconsentì alla richiesta di amicizia senza pensare a niente. In questo modo, il profilo clonato ha avuto accesso alle informazioni condivise solo con gli amici di SecGirl. "La gente ha semplicemente ignorato il pericolo nell'aggiungere un contatto senza controllare che sia autentico. Gli utenti devono prestare attenzione a questo tipo di errore. I social network offrono cose incredibili, ma il fallimento, prima di tutto, è umano. La privacy è una questione di responsabilità sociale. Non esiste una soluzione. La soluzione giusta è quella di utilizzare la Rete correttamente e siamo soli in questo compito", ha dichiarato Neto al giornale UOL. Nelson ha detto il suo esperimento fornisce informazioni sufficienti per l'aggressore di prendere realmente l'account Facebook della vittima.

Lo dimostra la potenza dell'ingegneria sociale, che ha come obiettivo una richiesta di amicizia che sembra lecita, ma può provenire da criminali. L'esperimento ha inoltre rivelato che il nuovo ticker ha un grave difetto grave per la privacy su Facebook. Secondo il ricercatore, il recente strumento "Ticker", che visualizza gli aggiornamenti da contatti in tempo reale in alto a destra, mostra ciò che si desidererebbe esporre come prova di infedeltà. E queste informazioni non possono essere escluse. Per dimostrare la sua tesi, Novaes ha creato tre profili fittizi. Due di loro rappresentavano una coppia e il terzo, un amico comune. L'esperimento, riprodotto su video e postato su YouTube, ha dimostrato che la donna nonostante avesse scelto di non mostrare le notifiche di aggiornamento per chiunque, anche il coniuge e l'amico comune avrebbero potuto vederle in tempo reale sul "Ticker".



Nell'esempio, la donna preferisce non mostrare il tizio che ha confermato una richiesta di amicizia dell'ex-fidanzato, ma le informazioni si sono poi rivelate all'amico comune che vede la conferma del "Ticker". Il ricercatore ha contattato gli amministratori del social network, ma non ha ottenuto risposta in ordine al funzionamento del "Ticker". Neto ha detto, inoltre, che è possibile prendere un account valido di Facebook tramite la funzione di recupero password Facebook "Tre amici fidati". Attraverso lo strumento di recupero della password, un hacker può cambiare sia la password che il contatto e-mail per un account. Basta creare 3 falsi profili aggiunti alle amicizie all'account delle vittima. Una volta ottenuta la password probabilmente si può accedere anche alla posta elettronica e altri servizi.

Dopo aver selezionato i 3 account Facebook invierà i codici di sicurezza per recuperare l'account. Basta inserire questi codici e si avranno da Facebook e-mail e password Reset per l'account. L'hacker potrebbe quindi utilizzare l'account hackerato per gli attacchi di social engineering su altri account. "L'avviso richiede all'utente di confermare anche la sua identità attraverso uno dei vari metodi, tra cui la registrazione e la conferma di un numero di cellulare", ha detto un portavoce di Facebook Ars Technica via e-mail. "Se non riescono a rispondere entro un certo periodo di tempo, l'account viene automaticamente disabilitato. Il sistema 'Amico fidato' include garanzie per le quali è bassa la probabilità che vengano scelte amicizie recenti tra quelle dell'account per il recupero della password", ha aggiunto il portavoce.

Grave vulnerabilità e-mail su Facebook permette di rubare l'identità

Un giovane operaio edile della regione di León, in Spagna, ha detto nel suo blog di aver scoperto una grave falla di sicurezza nel sistema di posta elettronica di Facebook che permette conoscendo poco e molto semplicemente, di inviare messaggi a tutti gli utenti della Rete per conto di altri. L'Istituto Nazionale delle Tecnologie della Comunicazione (Inteco) ha appreso della falla di sicurezza che permette di assumere l'identità di molte persone sul social network da oltre 400 milioni di utenti, nelle notizie che sono state fornite ,artedì scorso su El Mundo León attraverso il suo scopritore Alfredo Arias, noto come Minipunk.

Rubati 10.000 account Facebook da Swastika, social network smentisce

Un nuovo gruppo di hacker che si fanno chiamare "Swastika Team" hanno pubblicato su Pastebin quello che sostengono essere i nomi utente e le password di oltre 10 mila account di Facebook. Va notato che l'agenzia per le pubbliche relazioni di Facebook in Gran Bretagna ha fornito a Trend Micro la seguente dichiarazione: "Questo non rappresenta un hack di Facebook o di qualunque dei profili Facebook. I nostri esperti di sicurezza hanno esaminato questi dati e abbiamo trovato un insieme di combinazioni di e-mail e una password che non sono associate a qualsiasi account Facebook attivo". 

Il team della "svastica" (anche se rifiuta l'etichetta di hacker e hacktivist, preferendo invece il nome di "combattenti per la libertà") è un nuovo arrivato sulla scena hacking, dopo aver annunciato il suo "lancio" solo sei giorni fa. Anche se hanno pochi tweet al loro nome hanno già causato preoccupazione la pubblicazione delle tabelle del database e le credenziali dell'utente rubate dai siti dell'Ambasciata indiana in Nepal e il governo del Bhutan, a quanto pare da un attacco SQL injection. 

L'ultima divulgazione di ciò che essi sostengono, cioè delle più di diecimila credenziali degli utenti Facebook è senza contesto e senza alcuna indicazione dei mezzi con cui sono stati sottratti. Gli stessi messaggi sono già stati rimossi da Pastebin ma Rik Ferguson, ricercatore e tra i magggiori esperti di minacce informatiche, è riuscito a dare uno sguardo su questo successo

Furto delle credenziali degli account di Facebook

Gli account utenti compromessi provengono da tutto il mondo, e da una rapida occhiata attraverso la lista delle password associate viene mostrato che la maggior parte degli utenti interessati non utilizzano password complesse, essendo molte semplicemente una derivazione del nome utente, una squadra di calcio preferita o una password numerica breve. L'effetto continuo di tale compromossione su larga scala può essere disastroso per utenti interessati, in particolare se la password è condivisa per più account. 

Ciò può portare alla compromissione degli account di posta elettronica della vittima, che può fungere da grimaldello per molti altri servizi online, come qualsiasi procedura di reset password che normalmente passa attraverso e-mail del proprietario dell'account di posta in arrivo per la verifica. Riprendere il controllo di un account compromesso può essere un processo costoso e richiede tempo, come spiega Rowenna Davis a Guardian Uk, giornalista e vittima recente.

Rowenna Davis

"Tutto è cominciato quando il mio telefono è impazzito nel mezzo di una riunione cruciale. Circa 5.000 contatti avevano ricevuto una mail dal mio account dicendo che ero stata bloccata da uomini armati a Madrid. - racconta Davis - I miei amici di Internet mi hanno inviato dei messaggi per dire che il mio account era stato violato, mentre i più anziani e gli amici più vulnerabili volevano sapere dove inviare i soldi. Secondo la storia, il mio cellulare e le carte di credito erano state rubate ed avevo disperato bisogno di denaro. C'era un numero da chiamare per raggiungermi in albergo - presumibilmente a pagamento - e un account Western Union era stato istituito a mio nome per collegare un trasferimento. Improvvisamente si viene colpiti da una bomba organizzativa - che cade su quello che stai facendo; congelare il vostro conto in banca; rispondere alle chiamate in ansia; ultimi messaggi; perdere scadenze di lavoro; irritare i boss; ripristinare tutte le e-mail basati su password; dimenticare di pagare le fatture; irritare gli amici che pensano che li stai ignorando. La realizzazione che l'account di posta elettronica è il nesso del mondo moderno. E 'collegato a quasi tutto della nostra vita quotidiana, e se qualcosa va storto, si diffonde. Ma l'effetto più grande è psicologico. Ad un certo livello, la vostra identità è tenuta in ostaggio..."

"Non è mai una buona idea usare la stessa password in più siti Web, quindi cercate di averne una unica per ogni sito che si usa. Anche se questo può sembrare complesso e impossibile da ricordare che vi è modo semplice raggiungere questo obiettivo. Creare una password complessa usando lettere maiuscole e minuscole, numeri e caratteri speciali come $%&!. Escogitare un modo per differenziare la password per ogni sito che utilizzate, ad esempio mettendo la prima e ultima lettera del nome del sito web all'inizio e alla fine della vostra password iniziale complessa, rendendola unica e facile da ricordare", spiega Ferguson. La sicurezza delle password dipende dalle domande per resettarle, questo è anche uno dei modi più comuni per rompere un account". 

"Se viene chiesto di fornire le risposte alle "domande di sicurezza" esaminare se le risposte sono davvero sicure. Sicure vuol dire che siete l'unica persona che può rispondere alla domanda. Se esiste la possibilità di creare le proprie domande, utilizzatela. Se siete obbligati a rispondere a più domande standard come "prima scuola", "primo animale" o "prima auto" ricordate che la risposta non deve essere la verità, deve essere solo qualcosa che si può ricordare. Facebook afferma che i dati sottratti dagli hacker sono un elenco di user e password non riconducibili agli account attivi sul social network e Ferguson non ha verificato se le credenziali postate sono legittime (per motivi di privacy), ma per sicurezza ha avvisato gli utenti in maniera che possano proteggere i loro account.

FaceNiff: l'app per violare l'account Facebook, passate all'HTTPS

Dopo il programma Facebook Controller, la nota applicazione FireSheep, adesso arriva l'app FaceNiff a non far dormire sogni tranquilli agli utenti di Facebook. FaceNiff è un'applicazione per smartphone con sistema operativo Android, che rende il furto delle credenziali di accesso a Facebook e ad altri servizi online di social media, un gioco da ragazzi. L’applicazione può essere utilizzata per rubare i cookies non criptati su moltissime reti Wi-Fi, dando quindi all’utilizzatore, una facile e intuitiva interfacia che permetta a chiunque la sottrazione di tokens inviati via Facebook, Twitter a tutti gli altri popolari siti per i quali gli utenti non si curano di usare le connesioni SSL criptate.

Account Facebook hackerato? Cosa fare in caso di attacchi spam

La bacheca del vostro account Facebook inondata di spam? Vi state rendendo conto con orrore che il vostro profilo sta inviando messaggi di spam ai vostri amici? Avete mai provato ad accedere al vostro account scoprendo che l'accesso è stato bloccato da uno sconosciuto? Sempre più spesso si legge di truffe attraverso  nuovi schemi di attacco che colpiscono gli utenti di Facebook. Mentre il social network lavora costantemente per migliorare le funzionalità di sicurezza, è bene che l'utente stesso impari a difendersi, qualora si accorga che il suo account è compromesso. Ecco nove facili consigli da Catherin Smith, The Huffington Post  per il recupero dopo un eventuale attacco.

1. Cambiare la password

Se siete vittime di phishing o di attacco affine, qualcuno si è procurato la vostra password e la sta usando. Quindi, cambiate il prima possibile le vostre credenziali di login. Per farlo dovete andare sulle Impostazioni account. Ricordate di non utilizzare le stesse password su account diversi (per esempio quella che utilizzate per accedere alla mail di registrazione) e più complessa è la password, più al sicuro sarete.

2. Verifica di identità

Se credete che qualcuno abbia avuto accesso al vostro profilo di Facebook e pubblica contenuti non autorizzati a vostro nome, lo strumento Roadblock di Facebook può aiutare a verificare la vostra identità e rendere sicuro il vostro account contro lo spammer.

3. Abilitare la funzione di verifica del login

Uno dei nuovi strumenti di sicurezza che Facebook metterà in atto sarà una procedura di login in due fasi se rileverà anomalie nell’accesso. Abilitando questa funzione, Facebook vi invierà un sms di richiesta di autorizzazione prima di permettere l'accesso al vostro profilo da una postazione che non riconosce. Potrete, quindi, autorizzare o bloccare l'accesso direttamente dal cellulare. Facebook vi segnalerà ogni tentativo di accesso al vostro profilo da una postazione sconosciuta, e avvierà la procedura per il cambio di credenziali di login.

4. Rimuovere tutte le applicazioni indesiderate

Quando si istalla un'applicazione, in realtà si autorizza la medesima ad accedere al profilo, nella speranza che chi l'ha sviluppata posti solo gli aggiornamenti previsti. Il rischio è che gli spammer useranno questa "porta aperta" per accedere al vostro profilo. Se siete capitati su una "applicazione canaglia" e malauguratamente avete cliccato su "autorizza", sbrigatevi a rimuoverla non appena noterete un eccesso di attività da parte della stessa. Per farlo basta andare su "Impostazioni Privacy" e trovare la sezione "Applicazioni e Siti", che sta in fondo alla pagina. Così facendo potrete agire direttamente sulle applicazioni e sul tipo di informazioni cui potranno accedere. La vostra pagina della App consente di rimuoevere le applicazioni in blocco o una per una. Sarebbe bene fare questo controllo di tanto in tanto, perché le applicazioni si accumulano nel tempo.

5. Eliminare sempre messaggi e post di spam

Togliere subito, appena li notate, post di spam dalla bacheca e dai messaggi privati. Meno ce ne sono, meno rischi correte, voi e i vostri amici. Per quelli sulla bacheca passarci sopra con il mouse e cliccare sulla X.

6. Modificare tutto quello che vi riguarda

Se siete stati tratti in inganno e avete inavvertitamente cliccato "mi piace" su uno scam, vi toccherà modificare quante più informazioni possibili sul vostro profilo, rimuovendo allo stesso tempo tutti i link che vi porterebbero a siti indesiderati, collegandovi alla pagina degli interessi.

7. Segnalare a Facebook

Se si sospetta che il vostro account è stato compromesso, è possibile avvisare Facebook attraverso vari canali. Per segnalare violazioni della privacy, è possibile comunicare i rapporti di privacy@facebook.com. Se un truffatore ha ottenuto la password e dunque l'accesso al vostro account tramite attacco di phishing, è possibile compilare il report phishing di Facebook. Facebook fornisce anche un modulo per segnalare un link o un sito web maligno.

8. Scansione malware sul computer

Facebook raccomanda di avviare procedure di scansione dell'hard disk del computer alla ricerca di programmi che, in teoria, potrebbero ri-accedere al vostro profilo. Se non avete già un antivirus, Facebook consiglia di fare presto una prova gratuita con McAfee.

9. Chiudere la sessione

Se avete inserito una riga di codice maligno nel vostro browser e credete che qualcuno ha preso il controllo del vostro profilo ed è in procinto di inviare spam ai vostri amici, uscite da Facebook per fermare l'attacco. Una delle nuove caratteristiche di sicurezza di Facebook è quella di comunicare attività sospette sul vostro account, ad esempio un eccesso di spost o di clic su "Mi piace" o post.

Hacker sfida Facebook con un virus e poi Zuckerberg lo assume

Infastidisce Facebook e viene assunto dalla società. Non sapendo cosa fare, il 19enne Chris Putnam, studente dell’Università della Georgia, ha creato un virus ‘worm’ in grado di infastidire il social network creato da Mark Zuckerberg. Dopo le lamentele degli utenti, ovvero dopo meno di 24 ore, il giovane, attraverso codici e algoritmi ha attirato l’attenzione del miliardario più giovane del pianeta ed è stato assunto dal colosso di Palo Alto.

http://www.youtube.com/user/FastCompany

Ad aiutare il 19enne sono due amici, Marcel Laverdet e Kyle Stoneman, ma il protagonista è lui. Il virus si diffonde su Facebook con il suo nome, una richiesta di amicizia, e la modifica del profilo dell’utente che accetta. Da lì in poi la possibilità di intervenire sul profilo dell’utente. Putnam riesce ad infettare anche i profili di alcuni dipendenti della sede di Palo Alto. Digitando il nome di Chris Putnam su Facebook, appare una foto sfocata, e un "mi piace" sottoscritto da circa 30mila persone.

Putnam è un hacker nato nel 1988 che ha sfidato con un virus il grande social network. Il suo scopo non era infastidire Zuckerberg, ma farsi notare. La sua avventura ha inizio nel 2005 quando Chris, allora 19enne, studiava alla Georgia Southern University e insieme ai suoi due amici, decise di creare un worm che si replicava grazie a un exploit XSS (Samy XSS) tramite un campo non trattato correttamente.

http://www.facebook.com/

Il worm era in grado di fare tre cose: chiedeva l'amicizia all'account di Chris, si replicava nel profilo e cambiava la grafica del profilo dell'utente replicando fedelmente quella di MySpace. Il worm code JS/Spacehero-A si replicava di utente in utente in modo rapido e silenzioso, diffondendosi in modo virale attraverso gli amici che guardavano il profilo di qualcun altro.

I tre hacker potevano così modificare rapidamente lo script principale per produrre una serie di effetti a sorpresa sugli account che passavano sotto il loro controllo. "Era un lavoro che faceva molto effetto e riarrangiava tutti i campi del profilo in sgradevoli caselle di MySpace e schemi colorati", ha raccontato Putnam.

Questo li rendeva però facilmente rintracciabili. In meno di 24 ore dal rilascio del worm, Putnam venne contattato da Dustin Moscovitz, uno dei co-fondatori di Facebook. Con la diffusione del virus gli utenti contagiati avevano cominciato subito a lamentarsi. Anche numerosi dipendenti di Facebook erano stati infettati, incluso un account interno di prova chiamato The Creator.

http://www.whitehatsec.com/

Come ha poi spiegato Putnam, il 'creatore' non era Zuckerberg: "Ma abbiamo immaginato che anche lui fosse stato costretto a fare il punto e avesse considerato l'operazione uno straordinario successo". In meno di un giorno Putnam fu invitato da Moscovitz a presentarsi alla sede di Palo Alto di Facebook. Questo non prima di un lungo scambio di messaggi.

"Il fatto che Moskovitz conoscesse la mia identità non fu una grande sorpresa dal momento che l'interazione del worm con il mio account era scontata. Anzi eravamo arrivati a fornire delle informazioni su come contattarci", ha raccontato Putman. La reazione di Moskovitz fu comunque divertita.

"Hey tutto questo è divertente, ma sembrerebbe che tu stia cancellando le informazioni sui contatti dai profili degli utenti quando il worm si replica nuovamente. E così non è bello". In cambio di tanta compiacenza, Putnam iniziò a rivelare il worm nei dettagli insieme ai punti deboli che aveva identificato nel social network.

http://www.allfacebook.com/

Dopo circa un mese gli fu chiesto se volesse lavorare per Facebook. La Rete segue percorsi e colloqui di lavoro senza regole. Putnam era spaventato. In quel periodo un altro hacker era stato arrestato dopo aver fatto la stessa cosa. Un virus per MySpace, la promessa del social network all'assunzione e dopo l'invito, la prigione. "Quando arrivai alla sede, al secondo piano dovevo incontrarmi con Dustin. Ero teso ma quando la porta si aprì e trovai Moskovitz e non i poliziotti in piedi di fronte a me".

Putnam fu assunto e iniziò a lavorare per Facebook pochi giorni dopo il colloquio. Le sue pagine preferite sono Facebbok (un profilo nel profilo), Facebook Engineering e una pagina sulle "uova di pasqua": easter eggs che in realtà sono un regalo segreto dentro i programmi, ovvero dei codici segreti (http://20bits.com/articles/easter-eggs-in-facebook-chat/) che i programmatori inseriscono all'interno dei loro programmi e che non sono menzionati nei manuali ufficiali.

In genere vengono usati dai programmatori per scrivere segretamente i loro nomi. Per vedere un easter egg bisogna conoscere delle sequenze di tasti o operazioni da compiere. Presso alcune società di software l'inserimento di queste "sorprese" è permesso. Così, tra i simpaticissimi scherzi da hacker, nella lista delle emoticon di Facebook, ce n'è una dedicata proprio a Chris Putnam, è la 'Weird face' (e si richiama digitando :putnam:).

"Sarò sempre grato a Facebook e alla sua passione per gli ingegneri stravaganti e con un passato da hacker", ha raccontato l'ingegnere in un'intervista in Rete, abbastanza in superficie perché a noi fosse possibile riportarla sulla terra. Oggi lavora insieme al suo amico Marcel Laverdet insieme allo staff del Social Network più famoso del mondo. E' uno degli ingegneri del sito, partecipa regolarmente a forum da nerds assoluti, come Somethingawful.com, dove è abbastanza famoso. Trovate il documento in formato PDF dell'intero procedimento e del codice exploit a questa pagina.