Facebook ha patchato una vulnerabilità di sicurezza che avrebbe permesso agli hacker di attivare la webcam degli utenti a loro insaputa e postare i video ai loro profili. Il bug è stato scoperto nel mese di luglio da due ricercatori di sicurezza informatica in India, secondo Fred Wolens, portavoce di Facebook. Aditya Gupta e Subho Halder, fondatori di una società di consulenza chiamata XY Security, hanno riportato i loro risultati su Facebook, che li ha pagati 2.500 dollari in contanti per le informazioni, hanno detto.
Facebook sembra aver considerato questo particolare bug come "grave" in quanto la società ha pagato cinque volte il suo prezzo normale, hanno detto i due ricercatori. Facebook è una delle aziende tecnologiche - insieme a Google e Mozilla - che incoraggia ricercatori esterni a incidere i suoi prodotti in cambio di pagamenti in contanti. Alcune aziende, in particolare Microsoft, hanno evitato "bug bounty" perché potrebbero finire per gratificare i criminali, scrive Bloomberg,
Microsoft ha preferito il "Microsoft BlueHat Prize", un concorso nel quale ha messo in palio 250.000 dollari per i ricercatori che sviluppano tecnologie per la sicurezza e che si occupano di difesa con intere classi di exploit. "Vogliamo rendere più costoso e difficile per i criminali di sfruttare le vulnerabilità", ha detto in una conferenza stampa Katie Moussouris, un anziana stratega per la sicurezza di Microsoft. "Vogliamo ispirare i ricercatori a concentrare la loro competenze in materia di tecnologie di sicurezza di difesa".
"La minaccia per la nostra rete sta aumentando ad un ritmo senza precedenti. L'ambiente ostile in cui operiamo ha reso obsolete le strategie di sicurezza tradizionali. I progressi dell'avversario richiedono cambiamenti nel modo in cui operiamo, e 'offensiva' per cambiare il gioco", ha dichiarato. L'ex director executive assistant dell'FBI Shawn Henry che esplora lo stato del settore dal suo punto di vista come l'uomo che ha guidato tutti i programmi informatici delll'FBI.
In un'indagine condotta da Facebook quando è stato fissato il "webcam hole" sembra che nessun utente sia stato colpito, ha detto Wolens. "Questa vulnerabilità, come molte altre per le quali disponiamo una taglia, era solo teorica, e non abbiamo visto alcuna prova che sia stata sfruttata in the wild", ha scritto Wolens in una e-mail. "Essenzialmente, diverse cose dovrebbero andare male - un utente dovrebbe essere indotto a visitare una pagina dannosa e fare clic per attivare la sua camera, e poi, dopo un certo periodo di tempo, ingannato a fare clic nuovamente per fermare/pubblicare il video".
Molte aziende scelgono di pagare ricercatori come XY per i bug di sicurezza, perché l'alternativa può essere molto peggio. Tali informazioni possono raggiungere prezzi elevati sul mercato nero dai criminali che cercano di trovare il modo per far cadere i navigatori di Internet, e che alla fine costerebbero molto più agli amministratori del sito. Il bug di Facebook poteva essere sfruttato su sistemi Windows o Mac, hanno detto i ricercatori. Sembra un processo di attacco inverosimile, ma le società hanno ragione di essere sensibili a tutte le questioni connesse alla webcam.
Rubare video di una persona senza il loro consenso o conoscenza porta problemi ad un livello completamente nuovo. La vulnerabilità di Facebook trovata da XY Security era legata al modo in cui nel sito sono verificate le richieste per registrare e pubblicare video della webcam. Gli utenti che in precedenza avevano concesso l'accesso delle loro webcam al sito di Facebook, ha detto che sarebbero stati vulnerabili. Facebook, Google e Mozilla hanno pagato i ricercatori più di 2 milioni di dollari in combinazione con i loro programmi di taglie, a seconda delle aziende.
Google ha pagato il più 60 mila dollari (più un computer portatile gratuito) per informazioni sui punti deboli nel proprio browser Chrome e Facebook ha ampliato il suo programma per coprire non solo il sito di Facebook, ma anche della rete aziendale della società. Prima di riportare il bug webcam su Facebook, Gupta e Halder si sono costruiti una reputazione nel settore della tecnologia come cacciatori professionisti di bug-bounty. I ricercatori hanno già segnalato le vulnerabilità del software di Apple, Google, Microsoft e eBay PayPal, hanno detto.
Via: Bloomberg
Nessun commento:
Posta un commento