Ricerca

giovedý 25 agosto


Accedere agli account Facebook altrui era possibile

di Michele Nasi (09/03/2016)

Un ricercatore indipendente, l'indiano Anand Prakash, ha mostrato come fosse possibile accedere all'account Facebook di chiunque avesse impostato un numero di telefono per il recupero dei dati di autenticazione.

La vulnerabilità scoperta da Prakash è tanto semplice quanto pericolosa.

Quando un iscritto a Facebook richiede l'invio di un PIN temporaneo sul proprio cellulare per lo sblocco dell'account (e che quindi consente di accedere senza specificare alcuna password), questo deve essere digitato, così com'è, nell'apposita casella.

Accedere agli account Facebook altrui era possibile

Nel caso in cui il PIN fosse digitato in maniera scorretta, dopo dieci tentativi errati, Facebook blocca nuovamente l'account.

Prakash ha tuttavia scoperto che sul sito beta.facebook.com, "copia" del social network principale in cui i tecnici di Facebook "testano" le nuove funzionalità in corso di sviluppo, non vi era alcun controllo sul numero di tentativi.

Il ricercatore, come si vede nel video che ripubblichiamo, ha così potuto avviare un attacco brute-force, teso ad "indovinare" - per successivi tentativi - il PIN di sblocco dell'account Facebook.

L'attacco brute-force si è rivelato, tra l'altro, molto semplice da effettuarsi proprio perché non si tratta di risalire a lunghe password alfanumeriche (magari contenenti anche caratteri speciali; vedere Memorizzare password e gestirle in sicurezza) ma di un numero di sei cifre.

Facebook, ringraziando Prakash per aver segnalato il problema in forma privata e per non aver sfruttato la vulnerabilità per causare danni, ha versato al ricercatore un premio in denaro pari a 15.000 dollari.

Maggiori informazioni sono reperibili nel post di Prakash "Come avrei potuto violare il vostro account Facebook".

Articolo seguente: Google aiuta a pianificare i viaggi da smartphone
Articolo precedente: Seagate presenta un SSD che trasferisce dati a 10 GB/s
2600 letture
Ultimi commenti
Nessun lettore ha inviato un commento.
Vuoi essere il primo? Clicca su Inserisci il tuo commento!


Leggi tutti i commenti

Commenta anche su Facebook
Link alla home page de IlSoftware.it

P.IVA: 02472210547 | Copyright © 2001 - 2016

PRIVACY | INFORMATIVA ESTESA COOKIES | Info legali | Pubblicità | Contatti | Storia | Supporta | Credits

Segui i nostri Feed RSS de IlSoftware.it Segui i nostri Feed RSS