• Corretta un'altra falla di sicurezza in Facebook

    facebook-friends.jpg

    Ancora problemi di sicurezza per il noto “social network” Facebook. Questa volta la segnalazione arriva da IDG News, che ha ripreso quanto riportato dallo studente Steven Abbagnaro sul suo blog.

    Il bug in questione consentiva ad un malintenzionato di cancellare tutti i contatti inseriti nella lista degli amici di un generico utente.

    Il proof-of-concept realizzato da Abbagnaro sfrutta lo stesso bug CSRF (“Cross-Site Request Forgery”) utilizzato poco tempo fa da M.J. Keith, esperto di sicurezza di Alert Logic.

    Keith aveva mostrato come fosse possibile aggiornare le informazioni di profilo e privacy di un utente nonostante eventuali impostazioni esistenti.

    I responsabili di Facebook, a quanto pare si sono preoccupati di dichiarare chiuso il problema un po’ troppo in fretta.

    Dopo una serie di test Abbagnaro ha infatti verificato che il bug CSRF era ancora lì, e consentiva per l’appunto la cancellazione della lista dei contatti amici.

    A quanto pare sembra che il problema sia stato “definitivamente” risolto in data 22 maggio. La conferma arriva dallo stesso Abbagnaro in un update al post originale, nel quale oltre ai dettagli sull’attacco compare anche un “video dimostrativo”.

    [youtube -FU7xIpoWCM]

    Tags:

    Se vuoi aggiornamenti su Corretta un'altra falla di sicurezza in Facebook inserisci la tua e-mail nel box qui sotto:


    Ho letto e acconsento l'informativa sulla privacy

    Si No

    Acconsento al trattamento dei dati personali di cui al punto 3 dell'informativa sulla privacy

    Si No

    Commenta

    Your email address will not be published. Required fields are marked *