Un muratore spagnolo sostiene di aver scoperto una ''falla'' su Facebook che consente di rubare facilmente l'identità di un utente e mandare messaggi a suo nome. ''Ho scoperto questo difetto per caso'', ha dichiarato all'Afp Alfredo Arias, 37 anni, che si professa ''autodidatta al 100%'' di informatica, spiegando che a causa di una falla nel sistema di messaggistica di Facebook, una persona con competenze informatiche minime è in grado di inviare e-mail con altri account di Facebook.
''E' molto semplice, perchè basta sapere come creare una pagina Web'', ha detto, illustrando in dettaglio il processo utilizzato nel suo blog ''L'internauta di Leon''. E' possibile inviare un messaggio privato ad un utente Facebook impersonandone un altro. Arias che si fà chiamare Minipunk ha creato un semplice modulo Web con i campi (mittente, destinatario e messaggio).
Ad un account utente Facebook attiva la ricezione delle e-mail nella forma
nomeutente@facebook.com e la posta elettronica è quasi sempre visibile nei profili. Questa volta è la caratteristica nome utente di Facebook ad essere vulnerabile. Dopo le applicazioni di Facebook, ormai anche il nome utente di Facebook può essere usato per realizzare spoofing nei profili Facebook.
Non solo spam, ma questo bug può essere usato per inviare messaggi illegittimi agli utenti di Facebook dai loro amici o da parte di persone sconosciute senza il consenso del mittente. Per l'esposizione totale bisogna semplicemente conoscere l'username dell'utente (ricavabile dall'URL del profilo) e l'indirizzo email.
Per lanciare l'attacco un aggressore può utilizzando uno dei moduli già disponibili sul Web. Arias ha detto di aver scritto a Facebook ma nessuna risposta e nessuna soluzione è stata fornita per tappare la presunta falla di sicurezza. Il consiglio è quello di nascondere la propria e-mail di accesso per mitigare in qualche modo la vulnerabilità.
Via: ASCA
Nessun commento:
Posta un commento