immagine-preview

Set 28, 2018

Falla in Facebook: violati 90 milioni di profili

90 milioni di account si sono visti resettare la connessione da Facebook per quello che sembra uno dei più grandi attacchi di tutti i tempi subiti dalla piattaforma

Una allarmante notizia diramata pochi minuti fa ci spiega come, nel pomeriggio di martedì 25 settembre, Facebook abbia scoperto un problema di sicurezza che interessa quasi 90 milioni di account.

Il team di Facebook ha rilevato una vulnerabilità nel codice di Facebook utilizzata tramite la funzione “Visualizza come” (“View As…”), una funzionalità che consente alle persone di vedere come appare il proprio profilo visto da altri utenti, e che pare sia stata sfrutta per rubare i Token di accesso degli utenti.

Facebook e i Token

I Token di accesso, l’equivalente di chiavi digitali che permettono agli utenti che hanno effettuato l’accesso a Facebook di rimanere loggati senza dover reinserire le proprie credenziali ogni volta che viene utilizzata l’applicazione social, pare siano stati esposti e potenzialmente “carpiti” tramite questa vulnerabilità, consentendo di prendere possesso degli account impersonando l’utente stesso. Grazie a questa operazione potrebbe essere stato possibile accedere, non solo nel profilo degli utenti Facebook, ma anche, plausibilmente, in altre applicazioni che utilizzano questi Token, come ad esempio Instagram o Messenger.

 

Facebook si è mosso molto velocemente per agire su questa vulnerabilità ed informare le Forze dell’Ordine. Il team ha provveduto non solamente a correggere il codice per tamponare la falla, ma anche a disabilitare in via cautelativa la funzionalità incriminata e a reimpostare i token di accesso dei quasi 50 milioni di account che al momento sembrano essere interessati da tale incidente, oltre ad altri 40 milioni di account su cui è stata utilizzata la funzione “Visualizza come” nell’ultimo anno.

 

Come ovvia conseguenza, circa 90 milioni di persone dovranno ora accedere nuovamente a Facebook (app, Messenger, sito web…) o a qualsiasi app che utilizza il Login di Facebook.
Rimane inoltre momentaneamente disabilitata la funzione del “Visualizza come”, quantomeno fino a che possa essere eseguita un’analisi approfondita della sicurezza.

La dinamica di attacco

Questo attacco è stato possibile sfruttando la complessa interazione di più vulnerabilità derivanti da una modifica apportata nel luglio 2017 alla funzione di caricamento dei video, che ha avuto un impatto appunto sul “Visualizza come”.

 

La vera domanda però rimane ancora aperta: chi e da dove ha approfittato di questo attacco, così esteso e ramificato? Per ora pare non ci sia ancora dato sapere, così come, allo stesso modo, non possiamo ancora conoscere cosa è stato possibile recuperare da tali intrusioni.

Sta di fatto che, il dubbio che possa essere stata violata la corrispondenza privata degli interessati rimane un fattore rilevante, così come i dati della rete sociale e dei profili, che come sappiamo dopo lo scandalo Cambridge Analytica possono essere utilizzati anche per una approfondita profilazione degli utenti.

 

Si tratta comunque di un attacco senza precedenti, simile solo alle problematiche che nello scorso aprile hanno interessato il login tramite Facebook a Tinder.

Cosa fare ora?

Secondo l’Esperto di Sicurezza Matteo Flora, che ha pubblicato immediatamente a seguito della notizia un video dedicato all’argomento, “se siete stati “sloggati” da Facebook nelle scorse ore, sia dalla applicazione che dal sito web, probabilmente rientrate all’interno dei “fortunati” 90 milioni di account”. Ma cosa fare ora?

“Il cambio della password di accesso, sebbene sempre buona norma,” dice Flora, “non sembra essere in questo caso necessario: l’attacco non sembra aver carpito credenziali e, anzi, non ne aveva bisogno per accedere agli account. Comprendere cosa e come sia stato impattato è al momento complesso e forse prematuro, e forse l’unico suggerimento potrebbe essere quello di controllare i propri account per vedere se vi siano stati collegamenti e/o azioni particolari, anche “spulciando” il Registro delle Azioni, fatte magari a nostra insaputa”.

 

Ma, probabilmente, l’unico modo che avremo per conoscere l’estensione della problematica sarà aspettare nuovi sviluppi che verranno comunicati presumibilmente nei prossimi giorni direttamente da Facebook.

Rimani sempre aggiornato sui
temi di StartupItalia!
iscriviti alla newsletter