Il post seguente è stato tradotto, previa autorizzazione, da Graham Cluley’s blog
Un ricercatore ha scoperto una vulnerabilità critica su Facebook che potrebbe essere sfruttata dagli hacker per rivelare informazioni sensibili degli utenti.
MJ Keith, senior security analyst dell’azienda specializzata in sicurezza Alert Logic, ha scoperto la vulnerabilità che potrebbe rivelare informazioni private, o permettere che alcune pagine degli utenti Facebook siano oggetto di defacing.
Il reporter Robert McMillan, di IDG security, ha spiegato molto bene il problema :
Il bug ha a che fare con il modo in cui Facebook effettua la verifica per assicurarsi che i browser che si connettono al sito siano realmente quelli che sostengono di essere. I server di Facebook utilizzano il codice chiamato "post_form_id" token per controllare che il browser che tenta di fare qualcosa - esprimere il gradimento per un gruppo, ad esempio - sia realmente il browser che ha effettuato l'accesso all'account. I server di Facebook controllano questo token prima di apportare modifiche alla pagina dell'utente ma Keith ha scoperto che semplicemente eliminando il token dai messaggi, avrebbe potuto cambiare molte impostazioni su qualsiasi account Facebook.
Questo si chiama CSRF (Cross-site request forgery attack), se lasciato senza patch, permetterebbe agli hacker di creare pagine web dannose che potrebbero inviare istruzioni all'account della vittima senza essere autenticati.
La conseguenza? Beh, un hacker potrebbe rendere pubbliche quelle che, finora, erano informazioni private, o forzare il tuo profilo a farsi "piacere" un gruppo che potrebbe risultare imbarazzante.
MJ Keith riferisce sul sito di Alert Logic di aver informato Facebook del problema l'11 maggio e che il problema è stato risolto.
Tuttavia IDG ha riferito che la vulnerabilità è ancora presente.
Speriamo che, se non ancora corretta, questa vulnerabilità relativa alla privacy - che giunge in un momento imbarazzante per Facebook - venga rimossa al più presto.
Se sei un utente abituale di Facebook, potresti fare ancora di più e iscriverti alla pagina di Sophos sul sito per essere sempre aggiornato con le ultime notizie sulla sicurezza.
Ah, e ricordati di stare attento a fare clic su link sospetti ...
Fonte: Embarrassing privacy flaw found on Facebook
A researcher has found a critical security flaw on Facebook that could be exploited by hackers to expose sensitive information about users.
M J Keith, a senior security analyst with security firm Alert Logic, discovered the vulnerability which could lead to private information being exposed, or users' Facebook pages being maliciously defaced.
IDG security reporter Robert McMillan has explained the problem well:
The bug has to do with the way that Facebook checked to make sure that browsers connecting with the site were the ones they claimed to be. Facebook's servers use code called a "post_form_id" token to check that the browser trying to do something -- liking a group, for example -- was actually the browser that had logged into the account. Facebook's servers check this token before making any changes to the user's page, but Keith discovered that when he simply deleted the token from messages, he could change many settings on any Facebook account.
This is called a CSRF (Cross-site request forgery attack), which - if left unpatched - would allow hackers to set up malicious webpages that could submit instructions to the victim's Facebook account without validation.
The consequence? Well, a hacker could make your hitherto private information public, or force your profile to "like" a Facebook group that you may find embarrassing.
M J Keith reports on AlertLogic's website that he informed Facebook of the problem on the 11th of May, and that the problem has now been fixed.
However, IDG has reported that the security hole is still present.
Hopefully, if it's not already patched, this privacy flaw - which comes at an embarrassing time for Facebook - will be removed soon.
If you're a regular user of Facebook, you could do a lot worse than join the Sophos page on the site to ensure you are kept up-to-date with the latest security news. Oh, and remember to be careful about clicking on suspicious links..
Source: Embarrassing privacy flaw found on Facebook