Falla di sicurezza Facebook con numero di telefono obsoleto? Non è proprio così

Falla di sicurezza Facebook con numero di telefono obsoleto? Non è proprio così

Sta facendo il giro del web una notizia secondo cui ogni account Facebook può essere potenzialmente esposto alle mire dei malintenzionati utilizzando il recupero password attraverso il numero di telefono. Ecco perché non è allarmante come può sembrare

di pubblicata il , alle 15:21 nel canale Sicurezza
Facebook
 

Diverse fonti, fra cui Sun (che non teme rivali per titoli allarmistici ed esagerati) e Newsweek (decisamente più ancorato alla realtà dei fatti), riportano una notizia su una potenziale falla di sicurezza in Facebook, attraverso la quale sarebbe possibile prendere controllo di un account con passi semplici e alla portata di tutti.

Come accade in molti casi, approfondire diventa la chiave per lottare contro la superficialità di giudizio indotta dalla lettura di un semplice titolo, che porterebbe alla facile conclusione di ritenere Facebook un colabrodo sul fronte sicurezza. Può esserlo o meno, ma non certo per la vicenda che andremo ad esporre.

I fatti

James Martindale è un diciottenne che lavora in ambito informatico, imbattutosi in un fatto strano. Dopo aver inserito la nuova SIM T-Mobile nel telefono, ha cercato di utilizzarlo come predefinito in Google Voice passando per la app FreedomPop, un servizio USA che abbatte drasticametne i costi dei contratti mensili, che oltreoceano sono molto cari. In uno di questi passaggi deve essere apparso qualcosa come "Log in with Facebook", come accade in moltissime app risparmiandoci una ulteriore creazione di credenziali di accesso specifiche per ogni servizio.

Si accorge così che il profilo Facebook che la app tenta di associargli non è il suo, ma di un'altra persona. Incuriosito dalla cosa, inserisce il numero di telefono in Facebook e giunge al profilo non suo, scoprendo nome e cognome. James non è un malintenzionato ma è curioso e fa una prova: tenta di loggarsi scrivendo una password volutamente sparata a caso e ovviamente sbagliata, cui segue il suggerimento di recuperare l'accesso tramite uno dei possibili dati presenti nel profilo. Sceglie il numero di telefono. Ed ecco arrivare sul suo telefono il codice di accesso di sblocco, con cui entra tranquillamente nell'account dello sconosciuto, con la possibilità di fare tutto quello che vuole.

Una vera falla di sicurezza? Siamo sicuri?

Facebook, come tutti i servizi online, permette di recuperare le credenziali smarrite o dimenticate. Mette a disposizione questa operazione attraverso diverse modalità, partendo dal presupposto che l'utente sia attento a compilare e aggiornare i propri dati, specie quando questi cambiano nel tempo. Può capitare di dover cambiare o aggiungere un numero, ad esempio quello del telefono anziendale, così come può capitare di dimenticarsi di toglierlo.

James ha solertemente contattato Facebook per segnalare il problema, che ha però sminuito di molto il livello di allarme lamentato dal diciottenne. Facebook, a ragione secondo il nostro punto di vista, imputa le colpe sia alle compagnie telefoniche che assegnano numeri in disuso ad altri utenti, sia agli utenti che non aggiornano il profilo. Aggiungiamo noi che la colpa è tutta a carico dell'utente nel caso di telefoni aziendali che passano di mano in mano, in cui le compagnie telefoniche non cambiano proprio assegnazione al numero. Se ci si dimentica di aggiornare il proprio profilo Facebook non si può parlare di falla si sicurezza, ma di superficialità nella gestione del proprio account Facebook.

Il solerte James può aver ragione su una cosa che imputa a Facebook, ovvero i troppo sporadici reminder sulla necessità di tenere i profili aggiornati. Volendo tirare le somme possiamo dire che sì, alcuni account sono potenzialmente esposti al furto di identità, ma le probabilità di imbattersi contemporaneamente in un numero vecchio che sia presente in altri profili, utilizzato oggi da "smanettoni" curiosi e malintenzionati è davvero infinitesimale.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

6 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
WarDuck20 Luglio 2017, 15:40 #1
Questa cosa mi ricorda un fatto "strano" (ma poi neanche troppo) che mi era accaduto usando OpenDNS.

Sulla mia rete locale tempo avevo configurato i filtri OpenDNS abbinati al mio IP (dinamico).

Un client si occupava di tenere sincronizzato l'IP attuale con l'IP memorizzato lato server in OpenDNS.

Una sera rincasando notai una mail proveniente da un tizio sconosicuto che diceva di non riuscire ad accedere ad un sito web (facebook ).

Scoprii in quel modo che di fatto al tizio era capitato (per caso) il mio ultimo IP, e sempre per caso utilizzava OpenDNS.

Di fatto gli avevo filtrato gli accessi pur non volendo. Questo era successo perché di fatto il client OpenDNS girava su una macchina che non era 24/24h accesa.

Quindi si, questa non è una falla di Facebook, quanto degli operatori telefonici che da quanto ho capito riciclano i numeri di telefono non più utilizzati!
Pucceddu20 Luglio 2017, 16:16 #2
Anche mio cuggino una volta è morto
Alessio.1639020 Luglio 2017, 20:56 #3
Originariamente inviato da: digmedia
confermo la frase in grassetto...alcuni anni fa sono stato 'molestato' per quasi 2 mesi da
una donna che asseriva essere la mia compagna...messaggi e telefonate ad ogni ora
del giorno e della notte...mi sono sentito dire le peggio cose...
alla fine ha scoperto che il suo vero ex-compagno aveva cambiato numero (e capisco il perchè,
e il suo vecchio numero era capitato a me


*

Il mio nuovo numero TIM, era prima di un Mail Boxes della mia zona,
e poi della FEDERAZIONE ITALIANA HOCKEY E PATTINAGGIO (FIHP) sempre della mia zona.

Ho staccato i telefoni fissi, perchè non era più il caso.

Questa cosa non è giusta, comunque.
Phoenix Fire21 Luglio 2017, 09:02 #4
Originariamente inviato da: digmedia
Hai perfettamente ragione, non è giusta.
...anche perchè se invece che a me, il numero fosse stato assegnato a un
ragazzino/a (a 10/12 anni oggi quasi tutti hanno un cellulare), la
cosa avrebbe potuto essere molto più complicata e grave.


concordo

OT
uno dei pochi articoli su hwupgrade che non ha titolo clickbait come altre testate e che spiega per bene la notizia, complimenti
biometallo21 Luglio 2017, 09:23 #5
Originariamente inviato da: WarDuck
operatori telefonici che da quanto ho capito riciclano i numeri di telefono non più utilizzati!

Qualche anno fa feci un corso per operatore call center mi pare per la TIM e da quel che ricordo per loro recuperare vecchi numeri e\o acquisirne di nuovi tramite portabilità era una priorità dato che le combinazioni possibili di numeri di telefono non sono infinite e una volta esaurite cosa dovrebbero fare, vendere banane?
Zenida27 Luglio 2017, 00:00 #6
Originariamente inviato da: biometallo
Qualche anno fa feci un corso per operatore call center mi pare per la TIM e da quel che ricordo per loro recuperare vecchi numeri e\o acquisirne di nuovi tramite portabilità era una priorità dato che le combinazioni possibili di numeri di telefono non sono infinite e una volta esaurite cosa dovrebbero fare, vendere banane?


Esattamente... però, magari, conviene riciclare per primi quelli in disuso da più tempo.
Agli operatori basterebbe acquistare un nuovo prefisso per incrementare di molto la loro disponibilità numerica. Se per esempio Vodafone adottasse, oltre ai 349-348-ecc. anche il 341, si creerebbe disponibilità per altri 282.475.249 nuovi numeri

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^