Attacco a Facebook: almeno 50 milioni di account controllabili da malintenzionati

• Facebook
• Social networking

Questa volta il quadro è diverso. Nel caso Cambridge Analytica vennero utilizzate funzionalità di Facebook e furono richiesti ai singoli utenti permessi davvero molto ampi per raccogliere i loro dati e successivamente organizzarli in forma strutturata: Facebook e Cambridge Analytica: cosa ha insegnato lo scandalo in tema di tutela della privacy.

Stavolta è Guy Rosen, vice presidente product management di Facebook, a rilevare che un gruppo di aggressori ha sfruttato tre vulnerabilità insite nella piattaforma sulla quale si basa il social network per impadronirsi, potenzialmente, dei token di accesso di almeno 50 milioni di iscritti.

Un token è un elemento software che viene creato ogni volta che l’utente effettua il login con successo su Facebook (così come su altre piattaforme online): esso si presenta di solito come una lunga stringa composta da caratteri alfanumerici e rappresenta il lasciapassare per i successivi accessi al social network, dispensando l’utente dal dover inserire ogni volta le sue credenziali personali.
Un tempo i token memorizzati all’interno dei cookie erano facilmente intercettabili perché le comunicazioni avvenivano sfruttando il protocollo HTTP. Da quando Facebook è passato a HTTPS, i token non sono più acquisibili sferrando attacchi di tipo MITM (man-in-the-middle).

Facebook soffriva però di alcune importanti lacuna di sicurezza: come ha spiegato Rosen, infatti, gli aggressori hanno usato tre vulnerabilità da loro scoperte nella funzionalità “Visualizza come“ che avevamo presentato già qualche anno fa (vedere Profilo Facebook: come lo vedono gli altri).
Essa permette agli utenti iscritti al social network di verificare come la propria bacheca, i propri contenuti, le proprie pagine, sono visualizzate da altri utenti, che siano bot (come i crawler dei motori di ricerca) o persone in carne ed ossa (amici, amici di amici, sconosciuti,…).

Ecco, gli aggressori hanno fatto leva proprio su alcune gravi défaillance della funzionalità “Visualizza come“ riuscendo così a ottenere i token per acquisire pieno controllo degli account Facebook altrui, anche di soggetti completamente sconosciuti.

Sono stati i tecnici di Facebook ad accorgersi del problema rilevando un’importante mole di attività non autorizzate su account di mezzo mondo. Dopo aver informato le autorità, anche sulla base di quanto previsto dal GDPR europeo, il social network di Mark Zuckerberg ha modificato i token di 50 milioni di utenti più, a scopo cautelativo, di ulteriori 40 milioni di iscritti.
Zuckerberg in persona ha informato mediante una notifica i possessori di questi account che sono stati invitati ad effettuare nuovamente il login sul social network. I bug sono stati risolti e per sicurezza la funzionalità “Visualizza come” è stata adesso temporaneamente disattivata.

Per adesso non è dato sapere quali dati siano stati razziati. Certo è che le vulnerabilità, come confermano i responsabili di Facebook, non erano affatto semplici da individuare. Zac Morris, che ha lavorato nella divisione sicura di Facebook dal 2012 al 2016, ricorda che per vulnerabilità come quelle che sono state sfruttate, la società di Menlo Park riconosce ai ricercatori 30.000 dollari di ricompensa.
La rinuncia alla ricompensa e l’utilizzo delle vulnerabilità per altri fini, dimostra che gli aggressori erano motivati a prendere possesso di un gran numero di account Facebook per estrarre informazioni considerate importanti.