Facebook vi ha chiesto di rieseguire il login? Colpa di una grave vulnerabilità (aggiornato: ultime novità)

Edoardo Carlo Ceretti Falla che è stata utilizzata per un attacco informatico che ha colpito oltre 50 milioni di utenti, ma di cui tuttora non si conosce la reale entità in termini di dati sensibili sottratti.

Nella serata di ieri, Facebook ha comunicato pubblicamente la scoperta di una grave falla di sicurezza del proprio sito web, utilizzata da cyber criminali per violare la privacy di oltre 50 milioni di utenti, potenzialmente impossessandosi dei loro dati sensibili. Fortunatamente, il problema dovrebbe essere stato già completamente individuato e risolto, ma non si conoscono ancora le reali conseguenze dell’attacco.

Il pertugio per infliggere a Facebook una delle più gravi violazioni della sua storia è stato individuato nella funzione che consente a ciascuno utente di visualizzare un’anteprima del proprio profilo, dal punto di vista di un visitatore esterno, oppure di un utente inserito nella lista di amici, di un amico di un amico e così via. La funzione genera token che sarebbero stati utilizzati dai cyber criminali per introdursi negli account degli ignari utenti.

LEGGI ANCHE: Facebook utilizza anche a scopi pubblicitari i numeri di telefono forniti dagli utenti per il login sicuro

Dopo aver scoperto il problema, Facebook ha immediatamente operato un reset dei token degli utenti interessati, a cui se ne sono aggiunti ulteriori 40 milioni a scopo precauzionale, per un totale di 90 milioni di utenti. Se nelle ultime vi fosse stato chiesto di reinserire la vostra password per accedere a Facebook, il motivo è ora spiegato. Il colosso dei social network ha poi temporaneamente disattivato la funzione, per indagare più a fondo e assicurarsi che non ci siano altre vulnerabilità. La questione più pressante da chiarire però riguarda gli utenti: quali dati sono stati davvero sottratti? La risposta ci auguriamo che non tardi molto.

Aggiornamento03/10/2018

A distanza di pochi giorni dalla pubblicazione della notizia relativa al grave attacco informatico subito, Facebook ha rilasciato un primo aggiornamento sulla situazione. Il social network non si è ancora espresso esplicitamente sulla reale entità della violazione della privacy degli utenti, ma ha voluto fare una precisazione su una domanda che gli è stata posta da molti.

Ovvero, se anche app e siti di terze parti, che utilizzano le credenziali di Facebook stesso per eseguire il login, siano stati bucati dai cyber criminali e dunque siano a rischio di esposizione di dati sensibili. Fortunatamente, la risposta a questo quesito è rassicurante, ovvero che – sulla base dei controlli a tappeto fin qui eseguiti – non risultano intrusioni in siti esterni a Facebook. La piattaforma invita comunque gli sviluppatori ad utilizzare l’SDK fornita ufficialmente e a controllare i token a disposizione.

Fonte: Facebook (1), (2)
  • Nutria

    E se poi uno pensa che con i due fattori di autenticazione si salvi dagli hacker…… articolo “Facebook utilizza anche a scopi pubblicitari i numeri di telefono forniti dagli utenti per il login sicuro” ti forte fb stessa hahahah

  • ibasilico

    A me sono stati richiesti i permessi di acesso fb per Clash of Clans quindi farò parte dei 90 milioni di utenti?su fb proprio però nessuna richiesta