Facebook premia con $15.000 l'hacker che scopre una falla

Una vulnerabilità consentiva a qualsiasi malintenzionato di sferrare un attacco brute-force.

Tra le chiavi di ricerca che primeggiano tra gli hacker in erba c’è sicuramente "hacking Facebook". Ovviamente, non è semplice trovare una risposta a questo quesito.
Pare però che un hacker indiano ci sia riuscito.
Anand Praksh, esperto di sicurezza, ha scoperto una "vulnerabilità semplice" nel social network che consentiva di entrare in qualsiasi account, leggere le conversazioni private, dettagli dei pagamenti tramite carta di credito e, in sostanza, sostituirsi in tutto e per tutto al titolare dell'account attaccato.

Non ci vuole un hacker laureato: a chi non ricorda la password, Facebook consente di reimpostarla confermando la propria identità attraverso un codice a 6 cifre inviato via sms o per email: la "Password Reset Vulnerability" consente a qualsiasi malintenzionato di sferrare, a questo punto, un attacco brute-force a 6 cifre. Dopodiché, reimpostare la password dell'account colpito è un gioco da ragazzi.

[https://www.youtube.com/watch?v=U3Of-jF1nWo]

In realtà, il limite dei tentativi prima che l'account venga bloccato è fissato, da Facebook, a soli 10. Come è possibile in così pochi tentativi sferrare un attacco brute-force?

In realtà, Anand Praksh ha scoperto che il suddetto limite non è stato impostato affatto su alcuni domini beta del social network, come beta.facebook.com e mbasic.beta.facebook.com.

Prakash (@sehacure) ha scoperto la vulnerabilità nel mese scorso, riportando le sue considerazioni il 22 febbraio. Facebook, dopo aver sistemato il problema ha pensato bene di risarcire l'hacker indiano con $15.000 come premio per aver segnalato un buco che avrebbe potuto avere conseguenze inestimabili.

Un video pubblicato da Prakash su Youtube ci permette di assistere all'attacco visto con gli occhi di un hacker.

Ti consigliamo anche

Link copiato negli appunti