Symantec: profili utenti di Facebook a rischio

Symantec: profili utenti di Facebook a rischio

Una nota pubblicata dal blog di Symantec evidenzia un problema di sicurezza relativo a Facebook e alla gestione delle applicazioni. Per un lungo periodo di tempo sarebbe stato possibile a terzi accedere ai dati relativi ai profili degli utenti. Facebook risponde puntualizzando alcuni aspetti

di Fabio Boneschi pubblicata il , alle 15:31 nel canale Sicurezza
Symantec
 

Symantec ha individuato un importante problema di sicurezza relativo a Facebook. Come riportato nel blog ufficiale dela società le informazioni personali e i dati potrebbero essere stati condivisi con soggetti interessati, tipicamente inserzionisti pubblicitari, ovviamente all'insaputa dell'utente. Il problema pare essere legato alla modalità con la quale l'utente autorizza volontariamente applicazioni sviluppate da terze parti ad interagire con il proprio profilo Facebook.

Chi utilizza il social network sa bene come avviene il tutto: cliccando su un link viene richiesta all'utente l'autorizzazione ad accedere ai propri dati personali e solo rispondendo in modo affermativo è possibile utilizzare l'applicazione. Secondo Symantec altri soggetti non autorizzati avrebbero potuto editare profili, accedere alle raccolte di immagini o agli strumenti di messaggistica.

La dinamica completa del processo di autenticazione è ben descritta nel blog di Symantec a questo indirizzo, ma in rapida sintesi il problema sta nelle caratteristiche del token utilizzato dall'applicazione autorizzata dall'utente per operare. Semplificando ulteriormente il discorso il token è una sorta di "chiave di riserva" fornita all'applicazione per accedere al network utilizzando le credenziali dell'utente.

Con il vecchio protocollo questa chiave di riserva viene trasferita in chiara tra applicazione e Facebook fornendo quindi, potenzialmente, la possibilità a siti esterni di entrarne in possesso. Inoltre, il token in linea di principio dovrebbe avere una scadenza di durata ma tale caratteristica dipende da specifici parametri. Secondo Symantec negli ultimi anni potrebbero essere centinaia di migliaia le applicazioni che hanno trasferito questi token a terze parti. Sfruttando poi opportune API sarebbe stato possibile trafugare informazioni dagli specifici account.

Facebook è stata informata del problema e le ultime modifiche documentate dovrebbero aver risolto l'inconveniente. Reuters.com indica però un commento da parte di Facebook un po' in contraddizione con i termini allarmistici di Symantec. Infatti,  Malorie Lucich presentata come portavoce del social network, afferma che nel report di Symantec ci sarebbero dei dati inaccurati: un'indagine di Facebook confermerebbe che questo problema di sicurezza non avrebbe al momento portato all'esposizione di dati verso terze parti.

Malorie Lucich sottolinea inoltre che nel documento di Symantec non si fa riferimento agli obblighi contrattuali sottoscritti da chi sviluppa applicazioni per Facebook, obblighi tra i quali vi è proprio quello di non condividere con terzi informazioni provenienti dai profili degli utenti. Facebook comunica anche di aver rimosso le API indicate da Symantec.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

7 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
supereos211 Maggio 2011, 16:02 #1
Symantec, ma ci fai o ci sei?
Non hai più rappresentanti da sfruttare? Ora per vendere sfrutti i bimbiminkia che passano le giornate a giocare con farmville?
jokerpunkz11 Maggio 2011, 16:16 #2
Capitan Ovvio è passato alla sede Symantec
PhoEniX-VooDoo11 Maggio 2011, 16:35 #3
oh nooo, se accetto che tutti vedano le mie informazioni tutti vedranno le mie informazioni!!


Oenimora11 Maggio 2011, 17:33 #4
Originariamente inviato da: PhoEniX-VooDoo
oh nooo, se accetto che tutti vedano le mie informazioni tutti vedranno le mie informazioni!!




Non so come sia ora, ma qualche tempo fa era così di default e molti utilizzatori di FB è già tanto se sanno caricare una foto ed è difficile che vadano a cercare le impostazioni e smanettarci. Più che altro c'è poca consapevolezza nell'uso di quel social network, da parte di diversi suoi utenti.
freddy7911 Maggio 2011, 18:29 #5
Da quello che si legge nella notizia qui si va oltre il semplice accesso a dati personali, si parla di editare profili e accessi alla messaggistica, tutte cose che non sono permesse neanche all'amico del cuore su mia autorizzazione, era proprio una falla del sistema, l'utente non ha colpe in questi casi.

Per quanto riguarda symantec, è noto che le aziende che fanno della sicurezza il loro business tendono ad usare toni molto allarmistici, starà per uscire un norton speciale per le apps di facebook?
Fabio Boneschi12 Maggio 2011, 11:08 #6
____
starà per uscire un norton speciale per le apps di facebook?
____
qualcosa di simile c'è già
floc12 Maggio 2011, 15:02 #7
FBI: "scusate vi hanno rubato qualcosa?"
FACEBOOK: "no no tranquilli"
FBI: "ah ok"

lol

sony invece rimarra' ferma un altro mese
qualche sospettuccio no?

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^