Falla in Facebook: 90 milioni di account potenzialmente a rischio

Almeno 50 milioni di account Facebook sono al centro di una problematica di sicurezza che l'azienda ha ufficialmente comunicato con questa pagina ufficiale. E' emersa una vulnerabilità nel codice Facebook legata alla funzionalità "View As", che permette all'utente che la utilizza di vedere il proprio profilo personale così come lo vedrebbero altri.

La problematica di sicurezza è stata risolta e contemporaneamente Facebook ha proceduto con il reset dei dati di accesso degli almeno 50 milioni di account che sono potenzialmente oggetto di questa problematica di sicurezza. Altri 40 milioni di account circa sono stati ulteriormente resettati come dati di accesso: si tratta di utenti che sono stati oggetto di una operazione di "View As" nel corso dell'ultimo anno.

Coloro che sono stati oggetto del reset del proprio account devono ora procedere a ricollegarsi, inserendo nuovamente le proprie credenziali di accesso sui dispositivi con i quali abitualmente accedono a Facebook. Una volta collegati nuovamente gli utenti riceveranno una notifica nella parte superiore dello schermo che spiegherà cosa sia successo.

Al momento attuale Facebook sta conducendo una analisi interna che deve essere ancora completata: per questo motivo non è chiaro se questa problematica di sicurezza abbia portato all'accesso non autorizzato di dati degli utenti, e se si di quali essi siano.

Dallo studio è emerso che la vulnerabilità è basata su 3 distinti bug presenti in funzionalità implementate da Facebook che devono essere sfruttate in parallelo. Il primo bug è legato ovviamente alla funzione View As, mentre il secondo riguarda il nuovo video uploader. Il terzo si manifesta con l'interazione non dovuta delle prime due componenti, facendo emergere un access token non solo per la propria utenza ma anche per quella che si sta osservando con la funzione View As.

Gli access token sono stringhe di codice che permettono ad un utente, o ad una applicazione, di accedere al profilo di un utente senza che costui debba ogni volta inserire la propria password. Una volta completato il primo accesso a Facebook viene generato un access token, che può quindi venir utilizzato per riaccedere automaticamente. Gli access token sono utilizzati sia per connettersi a Facebook, sia quale porta di accesso a servizi di terze parti che sfruttano l'account Facebook per autenticare un utente.