Facebook ha patchato un bug di sicurezza nel suo servizio automatico di messaggistica di Capodanno dopo che uno studente IT nel Regno Unito ha scoperto che poteva facilmente vedere messaggi privati di altre persone. Lo studente e blogger Jack Jenkins, ha scoperto che poteva visualizzare i messaggi semplicemente cambiando il numero ID visualizzato nella URL di conferma del messaggio.
Semplicemente cambiando le cifre in una stringa di numeri alla fine della URL del messaggio, gli utenti potevano accedere alle comunicazioni di altre persone - anche se non erano in grado di indirizzare agli individui specifici, sfruttando la falla di sicurezza. Si poteva leggere il testo, vedere le foto allegate, e anche cancellare il messaggio. Facebook ha fermato il servizio un paio d'ore dopo che Jenkins ha bloggato sulla questione.
A ogni messaggio viene assegnato un numero generato da Facebook, simile a come Facebook utilizza i numeri di ID univoci per identificare ciascun utente. Per esempio, dopo l'invio di un messaggio, è possibile ricevere l'URL http://www.facebookstories.com/midnightdelivery/confirmation?id=76188. Modificando il 76188 con un'altra stringa di cinque cifre, si potevano vedere i messaggi di altre persone.
Sebbene poteva essere considerato un difetto abbastanza innocuo, in quanto i messaggi di auguri tendono ad essere generici e non era possibile vedere chi li avesse mandati (si vedeva solo la foto del profilo accanto al messaggio), tuttavia era possibile visualizzare i nomi dei destinatari del messaggio. Facebook ha confermato ieri mattina di aver disattivato l'applicazione.
"Stiamo lavorando su una correzione per questo problema, e nel frattempo abbiamo disattivato questa applicazione sul sito Facebook Stories per assicurare che nessun messaggio possa essere letto", un portavoce ha detto in una e-mail a CNET. Dopo che Facebook ha riattivato il servizio, gli utenti non possono più visualizzare altri messaggi, cambiando il numero ID.
Non è la prima volta che Facebook è costretto a confrontarsi con problemi relativi alla visualizzazione di messaggi privati in pubblico. A settembre scorso alcuni utenti hanno affermato di vedere i loro messaggi segreti resi pubblici nella loro Timeline. Nel mese di novembre, inoltre, Facebook, ha dovuto risolvere un problema nella sicurezza che ha permesso a chiunque di vedere gli indirizzi email collegati a certi account di Facebook.
Via: CNET
Nessun commento:
Posta un commento