mercoledì 12 maggio 2010

Nuovo bug su Facebook, in pericolo i dati privati degli utenti

Qualche giorno fa la chat di Facebook è misteriosamente passata offline per manutenzione, questo per consentire ai programmatori di Facebook di tappare un buco piuttosto grave nel sistema di sicurezza della privacy, che consentiva a tutti i contatti di visualizzare i messaggi privati scambiati dall'utente e le richieste d'amicizia in sospeso. E a distanza di pochi giorni arriva la notizia da Techcrunch di un nuovo bug che affligge la piattaforma sociale più in voga del momento. La falla è stata individuata in Yelp, uno dei siti partner di Facebook in grado di accedere direttamente alle informazioni personali dell'utente senza che questo debba concedere espressa autorizzazione. L'exploit è stato individuato in uno script maligno iniettato nel codice di Yelp, che sarebbe in grado di estrapolare alcune informazioni chiave per utilizzare le API (Application Programming Interface) di Open Graph, il discusso sistema di interconnessione con siti legati a Facebook, in maniera impropria e impadronendosi indebitamente dei dati personali inseriti dall'utente nel proprio profilo sociale.
Nonostante sia stata rilasciata una patch il problema non sarebbe stato risolto del tutto. Per ora Facebook ha fatto sapere che non sono sono stati registrati furti di dati ma non è tutto qui: durante il weekend è emerso un ulteriore bug, già sistemato, stavolta relativo alle email di notifica di Facebook. In questo caso sarebbe stato possibile risalire all'indirizzo IP dell'utente che ha causato l'invio della notifica, attraverso un codice inserito nell'oggetto del messaggio (http://www.myiptest.com/staticpages/index.php/trace-email-sender).
Non è la prima volta che vengono rilevati pericolosi bug di programmazione nella piattaforma di Facebook. Già nel 2009 il sito FBHive aveva annunciato di aver scoperto una grave lacuna nella sicurezza di Facebook, che permetteva a chiunque di visualizzare le informazioni di un profilo privato, anche se queste erano coperte dalle impostazioni della privacy. Qualche anno prima un trucco aveva permesso a chiunque per qualche giorno di visualizzare il profilo di utenti non amici semplicemente modificando l'URL e ricaricando la pagina. Anche in quell'occasione i tempi di risposta del team di Facebook furono abbastanza ristretti, consentendo una rapida risoluzione del problema. Critiche da più parti vanno comunque all’incompetenza tenica dello staff di Facebook, che come dimostrato in più di un’occasione, è incappato in incidenti piuttosto incresciosi sul versante della privacy.
Fonte: Punto Informatico/Future Web
Tag: Facebook Bug, Facebook Privacy

Nessun commento:

Posta un commento