venerdì 28 gennaio 2011

Un bug nelle API Facebook ha permesso messaggi status non autorizzati



Facebook ha imputato un recente incidente di sicurezza che ha portato alla visualizzazione di un post non autorizzato sulla pagina ufficiale di Mark Zuckerberg, ad un bug in una interfaccia di programmazione (API). Lo stesso bug ha colpito altre pagine, ma da Facebook assicurano che non c'è stato alcun accesso non autorizzato ai dati personali degli utenti.

La pagina del CEO di Facebook è stata messa in linea dopo che Martedì sera qualcuno è riuscito a pubblicare un aggiornamento su di essa che criticava la strategia finanziaria della società. "Se Facebook ha bisogno di soldi, invece di andare dalle banche, perché non consentire agli utenti di Facebook di investire in Facebook in un modo sociale? Perché non trasformare Facebook in un 'business sociale' nel modo in cui il vincitore Premio Nobel Muhammad Yunus ha descritto?", si leggeva in parte del messaggio canaglia che ha raccolto più di 1.800 "mi piace" e più di 400 commenti prima che fosse tolto. 

Il messaggio inviato alla fan page di Zuckerberg si riferisce all'annuncio di Goldman Sachs che ha deciso di confinare "a clienti non americani" l'offerta di azioni Facebook, a causa "dell'intensa attenzione da parte dei media". Ci sono state un sacco di speculazioni su come la violazione della sicurezza si sia verificata, con le possibili cause della compromessione, inclusi il phishing, attacchi di forza bruta o anche infezioni da malware. Tuttavia, il portavoce di Facebook ha rivelato a CNET che il colpevole è stato un bug in un editoriale API remota che solo gli attaccanti hanno potuto sfruttare per pubblicare i messaggi non autorizzati. 

Nello specifico, il bug è stato in una API (Application Programming Interface) che consente di pubblicare le funzionalità del sito, ha detto Ryan McGeehan, responsabile della sicurezza in risposta all'incidente a Facebook. "Un bug abilitato nei messaggi di stato da parte di persone non autorizzate in una manciata di pagine pubbliche. Il bug è stato risolto...", ha dichiarato in una email Joe Sullivan, chief security officer di Facebook a CNET. "Chiunque sia stato il responsabile ha avuto soltanto la possibilità di pubblicare sulla pagina e non ha avuto accesso ai dati privati dell'account Facebook".


"Si è trattato d'un errore molto limitato dal fatto che applicato ha avuto solo la possibilità di inviare", ha precisato. "E 'stupefacente il livello di speculazione, senza informazioni precise ", ha proseguito Joe Sullivan - "C'era il (falso) presupposto che vi fosse stato l'accesso non autorizzato alle informazioni... Il nostro impegno è quello di cercare di evitare l'incredibile e rispondere rapidamente quando succede qualcosa ", ha sottolineato. A quanto pare lo stesso bug è stato sfruttato per pubblicare i messaggi non autorizzati su molti altri account di alto profilo in aggiunta a Mark Zuckerberg, ma l'azienda ha rifiutato di assegnare loro un nome. 

Una delle pagine colpite potrebbe essere stata quella del presidente francese Nicolas Sarkozy. Domenica scorsa, qualcuno ha postato un annuncio falso sulla sua pagina fan sostenendo che egli non cercherà la rielezione dopo che il suo attuale mandato sarà terminato. Sarkozy in seguito ha rilasciato un aggiornamento di avvertimento agli utenti della compromissione e dissipare le voci. Facebook ha rifiutato di confermare se la sua pagina sia stata attaccata con lo stesso problema API. CNET ha chiesto a Sullivan se fosse a conoscenza del responsabile della violazione, ma Sullivan ha detto di non poter commentare ulteriormente perché si tratta di una indagine attiva. 

Graham Clulely, senior technology consultant di Sophos, aveva detto in una dichiarazione che "Mark Zuckerberg dovrebbe prestare attenzione alla sua vita privata e alle impostazioni di sicurezza dopo questa imbarazzante violazione". Facebook ha annunciato che ora offre agli utenti la possibilità di assicurare la loro connessione con il sito utilizzando HTTPS (Hypertext Transfer Protocol Secure). L'attivazione di una piena sessione HTTPS elimina la possibilità per i malintenzionati di compromettere l'account Facebook utilizzando strumenti come il Firefox plug-in chiamato Firesheep.

Nessun commento:

Posta un commento