Geekissimo

Facebook corregge una grave falla di sicurezza: i dati di milioni di utenti nelle mani dei pubblicitari?

 
Andrea Guida (@naqern)
12 Maggio 2011
3 commenti


Facebook ha fatto sapere di aver riparato una falla di sicurezza molto seria legata alle API per le applicazioni di terze parti. La falla, scoperta dai laboratori Symantec, ha permesso la fuoriuscita di milioni di token dal sito. Questi token, sono le “chiavi” usate dalle applicazioni per accedere alle informazioni presenti nei profili di Facebook (post in bacheca, foto, ecc.), e quindi potrebbero aver spinto i dati di milioni di utenti nelle mani di pubblicitari e società inserzioniste sulle pagine del celebre social network.

Nishant Doshi di Symantec ha scritto sul blog dell’azienda: “Secondo le nostre stime di aprile 2011, circa 100.000 applicazioni sono state coinvolte da questa fuga di dati. Calcoliamo che, nel corso degli anni, centinaia di migliaia di applicazioni avrebbero potuto inavvertitamente cedere token di accesso a terze parti”. Questo, tradotto in parole povere, significa che da quando Facebook nel 2007 ha introdotto le applicazioni (e di conseguenza le API per il loro sviluppo) questa falla è sempre stata presente.


Ma come sono trapelati questi token di accesso? Secondo Symantec, anche se ora Facebook usa il rigido sistema di autenticazione OAUTH2.0, molte applicazioni hanno continuato a sfruttare sistemi più datati e vulnerabili. In particolar modo, le applicazioni incriminate sarebbero state quelle contenenti i parametri di redirect “return_session=1″ and “session_version=3” (immagine sotto).

Quando un utente visita la pagina di un’applicazione – fanno sapere dall’azienda del Norton – Facebook prima invia all’applicazione una serie limitata di informazioni sull’utente (Paese, età, ecc.) e poi reindirizza quest’ultimo sulla classica pagina per dare l’autorizzazione alla “app” di accedere al profilo: la comunicazione involontaria di dati agli inserzionisti sarebbe avvenuta proprio in questo frangente, dopo l’invio di una richiesta http da parte di Facebook nella quale sarebbero stati presenti i token.

Questo vuol dire che tutti i nostri dati sono finiti nelle mani dei pubblicitari? Non necessariamente. Come detto in precedenza, la falla “potrebbe aver spinto i dati di milioni di utenti nelle mani di pubblicitari e società inserzioniste sulle pagine del social network” ma non è ancora chiaro se e come quest’ultima sia stata sfruttata.

Per sentirsi più protetti, gli utenti di Facebook possono comunque cambiare la password del proprio account e resettare così i token. Facebook, dal canto suo, tranquillizza tutti dicendo che non risultano comunicazioni di dati sensibili ad aziende terze e si tutela per il futuro obbligando tutte le applicazioni ad adottare il sistema di autenticazione OAUTH2.0.

Chissà cosa ne penserà Julian Assange di questa nuova “disavventura” del social network di Mark Zuckerberg.

[Via | MakeUseOf – Photo Credits | GaelG]
Potrebbe interessarti anche
Articoli Correlati
Quanto vale il tuo profilo Facebook?

Quanto vale il tuo profilo Facebook?

I numeri di Facebook sono impressionanti, li abbiamo scoperti un paio di mesi fa insieme. La valutazione del social network di Mark Zuckerberg è salita alle stelle in vista del […]

Le 10 applicazioni più popolari su Facebook: qualcuno vuole giocare?

Le 10 applicazioni più popolari su Facebook: qualcuno vuole giocare?

Credevate che il planisfero di Facebook fosse popolato per gran parte da bimbiminkia e sfaccendati? Vi sbagliavate. Di poco. “RedWriteWeb” ha pubblicato la classifica delle 10 applicazioni più popolari su […]

FireSheep, accedere a facebook e ad altri siti web senza credenziali d’accesso

FireSheep, accedere a facebook e ad altri siti web senza credenziali d’accesso

Se c’è una cosa che da sempre ci preoccupa e che si cerca sempre di migliorare è sicuramente la sicurezza sul web. Ormai la maggior parte dei siti web per […]

FB-Secure, settare i parametri di sicurezza relativi alle applicazioni in uso su Facebook direttamente da Firefox

FB-Secure, settare i parametri di sicurezza relativi alle applicazioni in uso su Facebook direttamente da Firefox

In svariate occasioni, qui su Geekissimo, abbiamo avuto modo di constatare quanto possa essere importante cercare di tutelare al meglio i propri dati e le proprie informazioni su Facebook, cercando […]

Mark Zuckerberg tra i 400 uomini più ricchi degli USA secondo Forbes

Mark Zuckerberg tra i 400 uomini più ricchi degli USA secondo Forbes

Pochi giorni fa vi avevamo parlato delle stime di mercato di Twitter, il secondo social network più famoso al mondo, che nonostante la sua posizione svantaggiata rispetto a Facebook può […]

Lista Commenti
Aggiungi il tuo commento

Fai Login oppure Iscriviti: è gratis e bastano pochi secondi.

Nome*
E-mail**
Sito Web
* richiesto
** richiesta, ma non sarà pubblicata
Commento

  • #1LoGnomo

    Che lo scoprono solo adesso mi sembra una cosa già organizzata. Saranno mie stupide fantasie…

    12 Mag 2011, 12:52 pm Rispondi|Quota
  • #2Giovanni

    Prima PSN ora anche FB… siamo messi bene

    12 Mag 2011, 5:46 pm Rispondi|Quota