Un bug di Facebook permette ad un hacker di entrare in qualsiasi account. Facebook tappa la falla in 72 ore e paga 15.000$ l’hacker per la segnalazione.
Facebuc(ato)
L’hacker in questione, Anand Prakash, ha recentemente riportato sul proprio sito come, sfruttando la funzione di “Password Dimenticata?” di Facebook, sia possibile entrare nell’account di qualsiasi utente del Social Network.
Se non l’avete mai sperimentata, la funzione di ritrovamento della password funziona così: si clicca su “Password Dimentica?” e si conferma di voler ricevere un codice di 6 cifre sul proprio cellulare o via mail che, alla ricezione, verrà inserito e permetterà di cambiare la propria password ed entrare nel proprio account.
La funzione, implementata allo stesso modo in molti altri siti, è sicura perché il codice in questione ha una validità limitata e viene spedito ai soli diretti interessati (salvo intercettazioni di SMS o mail).
Un eventuale attacco di “forza bruta” potrebbe provare ad indovinare il codice inviato — tentando tutte le possibili sequenze numeriche — ma Facebook limita i tentativi disponibili all’utente prima di invalidare il codice.
Quel che Prakash ha scoperto è che la versione beta di Facebook (beta.facebook.com) non implementa(va) il suddetto limitatore, permettendo perciò di provare un numero illimitato di tentativi finché l’hacker non è riuscito ad entrare “impunemente” nel proprio account.
Dopo aver accumulato le prove per confermare la propria scoperta, Prakash ha riportato il tutto a Facebook, che ha prontamente tappato la falla e gli ha assegnato 15.000$ come parte del proprio programma di Bug Bounty Hunting.
A conti fatti, il bug trovato da Prakash è uno dei più eclatanti mai trovati sul Social Network, tanto da poterne compromettere la reputazione a livello globale e 15.000$, a ben pensarci, diventano ben poca cifra in confronto. Per fortuna esistono hacker “buoni” (i cosiddetti white hats) che decidono di collaborare con compagnie ed istituzioni per sistemare bug che ne minano la sicurezza. D’altra parte se le “taglie” per il ritrovamento dei bug resteranno così esigue è probabile che altri hacker come Prakash valutino se valga la pena vendere le loro scoperte al miglior offerente (leggi, mercato nero) piuttosto che fare la cosa giusta.