Facebook è vulnerabile e da accesso a milioni di fotografie degli utenti, profili e altre informazioni personali a causa di un bug di anni fa, che sostituisce le impostazioni della privacy individuale, questa la dichiarazione dei ricercatori di Symantec.
I ricercatori stimano che la falla abbia colpito centinaia di migliaia di applicazioni. Il bug colpisce un insieme di “chiavi” che le applicazioni Facebook utilizzano per eseguire determinate azioni per conto dell’utente, come ad esempio inviare messaggi a una bacheca di Facebook o l’invio di RSVP agli inviti. Per anni, molte applicazioni che si basano su una vecchia forma di autenticazione dell’utente usano queste chiavi e le girano a terzi, dando loro la possibilità di accedere alle informazioni degli utenti.
I ricercatori di Symantec hanno detto che Facebook ha corretto il bug, ma ha avvertito che i token, le chiavi, già esposte possono essere ancora ampiamente accessibili.
“Non vi è alcun modo per stimare la quantità di quanti hanno già fatto applicazioni di Facebook dal 2007,” Nishant Doshi di Symantec lo ha scritto Martedì. “Temiamo che molti di questi bug potrebbero essere ancora disponibili nei file di log dei server di terze parti o ancora attivamente utilizzati dai pubblicitari”.
Mentre molte chiavi di accesso scadono poco dopo che sono rilasciate, Facebook fornisce anche token di accesso non in linea che rimangono validi a tempo indeterminato. Gli utenti di Facebook possono chiudere questo bug nella sicurezza, modificando la propria password, che revoca immediatamente tutte le chiavi precedentemente emesse.
La falla risiede in uno schema di autenticazione che precede la diffusione di un nuovo standard noto come OAuth. Applicazioni Facebook che si basano sul sistema precedente e utilizzano alcune variabili di codice di uso comune daranno un token di accesso che viene aperto automaticamente dall’host. Le credenziali possono quindi essere passate agli inserzionisti o altre terze parti che incorporano tag iframe nella pagina host.
“L’applicazione Facebook è ora in grado di cedere inavvertitamente il token di accesso a terze parti e, purtroppo, molto spesso per caso,” ha scritto Doshi. “In particolare, questo URL, compreso il token di accesso, si passa agli inserzionisti di terze parti come parte del campo referrer delle richieste HTTP.”
Un portavoce di Facebook ha detto non ci sono prove che questo bug sia stato sfruttato in modo che possa violare norme sulla privacy del social network, e comunica con fermezza: “Non abbiamo mai condiviso le informazioni personali con i nostri inserzionisti” Facebook Martedì ha anche annunciato che è stato definitivamente chiusa la vecchia routine di autenticazione.
Doshi, che è stato assistito da un ricercatore ha detto che non c’è modo di sapere con precisione quante applicazioni o utenti di Facebook siano stati colpiti dalla falla. Si stima che dal mese scorso, quasi 100.000 domande sono state inviando permettendo la fuoriuscita dei dati e che nel corso degli anni “centinaia di migliaia di applicazioni possono avere inavvertitamente dato milioni di token di accesso a terzi”.
Facebook nel corso degli anni è stata molto criticata per la sicurezza dei suoi utenti. L’azienda ha implementato miglioramenti, come sempre, sulla crittografia web, anche se gli utenti devono ancora essere abbastanza esperti per attivarlo da soli, dal momento che la funzione SSL non è abilitata di default.
Come indicato sopra, tutti i token di accesso rilasciati in precedenza possono essere cancellati cambiando le password Facebook. I lettori che non sono sicuri se sono stati colpiti potrebbero per sicurezza aggiornare le proprie password.