Facebook tiene molto a preservare i dati dei propri iscritti con diversi meccanismi che ne tutelano la riservatezza, anche dopo la morte (e così diventerà un grosso cimitero virtuale). Eppure, di recente, un programmatore di origine indiana ha rivelato d’aver scoperto una vulnerabilità nella versione beta di Facebook che consentiva di effettuare – senza troppi sforzi – il reset della password utente!
Anand Prakash, questo il nome del programmatore indiano, stava trafficando – come suo solito – sul dominio beta.facebook.com che viene utilizzato dagli sviluppatori di Facebook per testare, in anteprima, quelle novità che potrebbero – poi – sbarcare sulla versione stabile del noto social network.
Abitualmente Facebook implementa degli ottimi meccanismi per proteggere gli accessi dei legittimi utenti ai loro account: nel caso ci si dimentichi la password, si può richiedere l’invio – per SMS o mail – di un codice a 6 cifre che consente di azzerarla e, dopo circa 12 tentativi andati a vuoto, Facebook tende a bloccare l’accesso ad un dato account per “motivi di sicurezza”: in quel caso bisognerà fornire prove della propria identità.
Nella versione beta, ha notato Prakash, questo meccanismo non era stato aggiunto e, quindi, lui è riuscito a resettare la password di un utente, ad entrare nel relativo account, ed a leggerne tutti i messaggi ed i dati bancari con un semplice attacco brute force: si è recato sul sito “Portswigger” e, quivi, ha usato la Burp Suite per un penetration test che gli ha dato l’esito di cui raccontavamo poc’anzi.
Naturalmente Prakash non ha pubblicato subito l’esito della sua scoperta: ne sarebbe andata di mezzo la sicurezza di tutti gli account Facebook attuali! Il 22 febbraio ha subito avvertito Facebook che il giorno dopo ha rilasciato una patch per il bug scoperto. Scoperta che ha consentito al bravo programmatore indiano di meritarsi un giusto premio di 15 mila dollari.