Social network: quante volte abbiamo allertato i nostri lettori sulla necessità di applicarvi corrette politiche di sicurezza?
E non si tratta soltanto di avere la cura, ogniqualvolta entriamo e usciamo dalle piattaforme di condivisione, di effettuare le procedure di log in e log out all’interno del personale account, quanto piuttosto di adottare per i nostri device, soprattutto mobile, adeguati software di security. Perché altrimenti episodi di emergenza, come quello che si è verificato pochi giorni fa su Facebook, corrono il rischio di scatenare conseguenze gravi, se non letali, per gli utenti.
Un ricercatore indipendente di sicurezza, l’indiano Anand Prakash, ha infatti scovato una importante falla nel sistema di reset della password messo a disposizione dei propri clienti da Facebook, che ha involontariamente esposto la totalità dei profili registrati sulla piattaforma ad attacchi pishing e trojan di ogni tipo, per una durata complessiva di settantadue ore.
Nel dettaglio, l’analista ha simulato lo smarrimento delle proprie credenziali di accesso, ricorrendo, in questo modo, al meccanismo automatico di ricezione da parte dei server Facebook, sul proprio numero di telefono cellulare e all’indirizzo mail, di un codice di sei cifre necessario a certificare la propria identità in vista della generazione di nuovi username e password.
Qui, la scoperta: contrariamente alle attese, il limite massimo di dodici tentativi consentiti all’utente per l’inserimento del suddetto codice di recupero è risultato disattivo, cosicché chiunque, a conoscenza della falla, avrebbe potuto ritagliarsi il tempo necessario per lavorare indisturbato alla forzatura di un qualsiasi account preso di mira.
Menlo Park, avvisata dell’esistenza del bug, ha posto rimedio alla vulnerabilità nel giro di poche ore, ma per coloro che non dispongono di sistemi di firewall sufficientemente elaborati non possiamo garantire l’assenza di conseguenze nell’arco di tempo “scoperto”.