Facebook ha detto di aver liberato il suo sito da gran parte delle immagini pornografiche e violente pubblicate come parte di un attacco di spam. Facebook aveva annunciato un'indagine sulla base delle denunce ricevute da migliaia di utenti che hanno detto di aver ricevuto immagini pornografiche sui loro ''news feed''. Lo scorrere del flusso degli 800 milioni di utenti del sito di social networkig sembra ora tornato normale.
In particolare vi erano immagini di porno hardcore, foto modificate graficamente che immortalavano personaggi famosi, tra cui Justin Bieber, in pose erotiche e immagini violente come quelle di abusi su un cane. ''Proteggere le persone che utilizzano Facebook da spam e contenuti malevoli è una priorità assoluta per noi, e siamo sempre al lavoro per migliorare i nostri sistemi di isolare e rimuovere il materiale che viola i nostri termini.
Recentemente, abbiamo avuto un attacco coordinato di spam che sfruttava una vulnerabilità del browser. I nostri sforzi hanno drasticamente limitato i danni causati da questo attacco, e siamo ora in procinto di indagare per identificare i responsabili.'', aveva dichiarato Facebook in un comunicato ufficiale. Il social network ha accusato una vulnerabilità del browser e dice che sta lavorando per migliorare i propri sistemi di sicurezza per difendersi da attacchi simili in futuro.
Una fonte ha dichiarato che Facebook conosce i responsabili e dichiara che non si tratta di un hacktivist di Anonymous come avevano invece ipotizzato alcuni osservatori, nelle ore immediatamente successive all'attacco. L'azienda sta adesso lavorando con il suo ufficio legale per agire contro i sospetti aggressori. Facebook detto che l'attacco di spam ha lavorato attraverso l'auto vulnerabilità XSS nel browser.
"Durante questo attacco di spam agli utenti sono stati indotti a incollare e l'esecuzione di JavaScript maligno nel loro barra del browser l'URL causando loro l'inconsapevole condivisione di questo contenuto offensivo. I nostri ingegneri hanno lavorato diligentemente per questa self-XSS vulnerability nel browser. Abbiamo creato meccanismi di applicazione per chiudere velocemente le pagine con malware e gli account che tentano di sfruttarla. Abbiamo anche avvisato le persone colpite con dei post di blocco didattici in modo che sappiano come proteggersi", ha dichiarato Facebook alla BBC.
"Abbiamo messo in campo delle contromisure per ridurre il tasso di questi attacchi e continueremo a lavorare sulle nostre difese per trovare nuovi modi per proteggere gli utenti. Nessun dato degli utenti o gli account sono stati compromessi nel corso di questo attacco", ha aggiunto. L'azienda ha anche offerto i seguenti consigli per mettere in guardia contro ulteriori attacchi:
- Non copiare e incollare il codice sconosciuto nella barra degli indirizzi;
- Usare sempre l'aggiornamento del browser;
- Usare i link report su Facebook per segnalare comportamenti sospetti o contenuti strani sugli account degli amici;
- Facebook permette l'iscrizione ai bambini di età superiore ai 13, e le politiche sono contro le immagini inappropriate.
Tuttavia, gli esperti di sicurezza hanno detto che è difficile per l'azienda rispondere in maniera adeguata a questa minaccia, tenendo presente che sfrutta una vulnerabilità di un qualsiasi browser web e attraverso azioni fatte dall'utente stesso. Hanno anche detto che l'attacco era molto insolito perché la maggior parte altre truffe sul social network sono progettate per fornire una vincita finanziaria.
"Questo sembra essere un atto puramente dannoso. Facebook ha una reputazione per il mantenimento di un ambiente ragionevole per le famiglie", ha scritto Chester Wisniewski, un consulente di sicurezza senior di Sophos, sul suo blog aziendale. "Speriamo che qualsiasi browser fornirà una correzione più presto per il difetto, ma come sappiamo la maggior parte delle persone sono lente ad applicare gli aggiornamenti indipendentemente dal browser che si usa (ad eccezione di Chrome). La falla potrebbe essere sfruttata da altri e usata contro siti diversi, anche se sono gli utenti stessi ad incollare il codice JavaScript maligno nel browser", ha aggiunto.
Nessun commento:
Posta un commento