lunedì 19 agosto 2013

Bacheca Facebook di Mark Zuckerberg hackerata per evidenziare bug


Un hacker ha scoperto una grave vulnerabilità nel codice di Facebook, ma il team di sicurezza ha ignorato troppo a lungo la criticità del problema. La scoperta riguardava la possibilità di bypassare le impostazioni sulla privacy di qualsiasi utente Facebook. ''Prima di tutto, scusa per aver rotto la tua privacy e aver postato sulla tua bacheca. Mi chiamo Khalil''. Inizia così il messaggio pubblicato da uno sviluppatore palestinese sulla Timeline di Mark Zuckerberg.

Non ci sarebbe nulla di male se Khalil Shreateh fosse nella cerchia di amici del fondatore di Facebook; invece Khalil è un hacker (blog) che ha individuato un problema tecnico, in conseguenza del quale chiunque avrebbe potuto scrivere sulla bacheca di un estraneo. Il ricercatore, che come immagine del profilo ha la foto di Edward Snowden, ha infatti scoperto l'esistenza di un modo per aggirare le impostazioni della privacy e permettere la pubblicazione di post anche sulle Timeline degli utenti che non sono nella propria cerchia di amici.

Visto che i suoi avvertimenti sono stati ignorati dal team della sicurezza del social network, Khalil ha scelto la "soluzione drastica" e pubblicato un post sul profilo privato del suo fondatore, "impresa" che gli è costata la sospensione del proprio account "per precauzione". Eppure il ricercatore aveva cercato in tutti i modi di comunicare il bug alla società di Menlo Park: ha prima contattato il team della sicurezza segnalando la vulnerabilità tramite una e-mail. 


Poi ha dimostrato l'esistenza del bug pubblicando con il suo account sulla bacheca di Sarah Goodin, ex compagna di college di Zuckerberg, e ha incluso un link al suo post nella successiva e-mail. Ma anche questa segnalazione è rimasta inascoltata. Uno dei componenti del team sicurezza di Facebook - identificato come Emrakul - ha risposto che non poteva vedere il post poiché non era amico di Sarah Goodin. E all'insistenza di Khalil avrebbe risposto: "Mi dispiace questo non è un bug".

A questo punto l'hacker palestinese non ha avuto scelta: "Ok - ha scritto al team - non mi rimane che postare direttamente sulla bacheca di Mark''. E così ha fatto. Ola Okelola, altro security engineer di Facebook, ha commentato il post chiedendo a Shreateh stavolta delucidazioni sul bug: tuttavia, il palestinese si è ritrovato col proprio account disattivato come "precauzione". Facebook non ha più commentato la vicenda ma il bug dovrebbe essere stato risolto.

Con una nota dolente per il suo scopritore: Khalil Shreateh infatti non sarà ricompensato, così come previsto da parte della società per chiunque trovi una falla del sistema, perché - secondo quanto fa sapere il social network (come si legge su Hacker News) - ha violato la cosiddetta "politica di divulgazione". Facebook ha un programma di taglie dove paga le persone per segnalare i bug invece di usarli o venderli sul mercato nero.


Fonte: Dailymail
Via: Adnkronos
Foto da video

Nessun commento:

Posta un commento

Related Posts Plugin for WordPress, Blogger...