Facebook ha
pagato una ricompensa di ben 20.000 dollari a un ricercatore di
sicurezza britannico, Jack Whitten, per aver segnalato al social
network un difetto che consentiva di prendere il controllo di un
account Facebook con pochissima fatica.
Come racconta
Whitten nel proprio blog,
bastava che l’aggressore mandasse un apposito SMS a Facebook, che
rispondeva mandandogli un codice di verifica. L’aggressore poteva
poi usare questo codice via Internet per chiedere il reset della
password di qualunque utente del social network e farsi mandare un
SMS contenente un link che permetteva di reimpostare la password
della vittima, prendendo quindi il controllo del suo account in pochi
secondi.
La falla è
stata risolta nel giro di una settimana, e la ricompensa può
sembrare davvero ragguardevole, ma è un indicatore della gravità
del difetto e della necessità di stabilire degli incentivi monetari
molto consistenti per evitare che gli scopritori di queste falle
vadano a venderle altrove, per esempio ai criminali informatici, che
sanno bene come monetizzare un account rubato in questo modo.
Nessun commento:
Posta un commento