Il post seguente è stato tradotto, previa autorizzazione, da Graham Cluley’s blog

Facebook patch
Un ricercatore ha scoperto una vulnerabilità critica su Facebook che potrebbe essere sfruttata dagli hacker per rivelare informazioni sensibili degli utenti.

MJ Keith, senior security analyst dell’azienda specializzata in sicurezza Alert Logic, ha scoperto la vulnerabilità che potrebbe rivelare informazioni private, o permettere che alcune pagine degli utenti Facebook siano oggetto di defacing.

Il reporter Robert McMillan, di IDG security, ha spiegato molto bene il problema :

Il bug ha a che fare con il modo in cui Facebook effettua la verifica per assicurarsi che i browser che si connettono al sito siano realmente quelli che sostengono di essere. I server di Facebook utilizzano il codice chiamato "post_form_id" token per controllare che il browser che tenta di fare qualcosa - esprimere il gradimento per un gruppo, ad esempio - sia realmente il browser che ha effettuato l'accesso all'account. I server di Facebook controllano questo token prima di apportare modifiche alla pagina dell'utente ma Keith ha scoperto che semplicemente eliminando il token dai messaggi, avrebbe potuto cambiare molte impostazioni su qualsiasi account Facebook.

Questo si chiama CSRF (Cross-site request forgery attack), se lasciato senza patch, permetterebbe agli hacker di creare pagine web dannose che potrebbero inviare istruzioni all'account della vittima senza essere autenticati.

La conseguenza? Beh, un hacker potrebbe rendere pubbliche quelle che, finora, erano informazioni private, o forzare il tuo profilo a farsi "piacere" un gruppo che potrebbe risultare imbarazzante.

MJ Keith riferisce sul sito di Alert Logic di aver informato Facebook del problema l'11 maggio e che il problema è stato risolto.

Tuttavia IDG ha riferito che la vulnerabilità è ancora presente.

Speriamo che, se non ancora corretta, questa vulnerabilità relativa alla privacy - che giunge in un momento imbarazzante per Facebook - venga rimossa al più presto.

Se sei un utente abituale di Facebook, potresti fare ancora di più e iscriverti alla pagina di Sophos sul sito per essere sempre aggiornato con le ultime notizie sulla sicurezza.

Ah, e ricordati di stare attento a fare clic su link sospetti ...

Fonte: Embarrassing privacy flaw found on Facebook

This entry was posted on giovedì, maggio 20th, 2010 at %I:%M %p and is filed under Graham Cluley, Traduzioni Inglese Italiano. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.