Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

Ancora bug su Facebook: a rischio i dati personali
- MERCOLEDÌ 14 NOVEMBRE 2018


E' stata individuata una nuova vulnerabilità di sicurezza in Facebook: il rischio è che un attaccante possa ottenere informazioni personali riguardanti l'utente e i suoi profili amici. La vulnerabilità in questione risiede nel meccanismo in cui la funzione di ricerca di Facebook visualizza i risultati delle ricerche. 

Stando ai report dei ricercatori che hanno individuato questa vulnerabilità, la pagina che mostra i risultati di una ricerca include elementi iFrame associati a ciascun risultato: in questi elementi gli URL degli endpoint non dispongono di alcun meccanismo di protezione contro attacchi CSRD (cross-site request forgery - una vulnerabilità alla quale sono esposti i siti web dinamici progettati per ricevere richieste da client senza meccanismi di verifica rispetto al tipo e alla modalità di richiesta avanzate). 

La buona notizia è che la vulnerabilità che riportiamo è già stata risolta e, al contrario della recente falla di Facebook che ha esposto i dati di oltre 30 milioni di account, non ha prodotto furti di massa di informazioni private dagli account.

Come funziona questa vulnerabilità?
Per sfruttare questa vulnerabilità l'attaccante non deve fare altro che attirare l'utente a visitare un sito web dannoso col browser tramite il quale è loggato al proprio profilo Facebook. 


Il sito dannoso contiene un codice javascript che si eseguirà in background non appena l'utente fa clic su qualsiasi punto della pagina. Il javascript apre una nuova tab o una nuova finestra con un URL Facebook che esegue ricerche predefinite e valuta quindi il risultato per estrarre informazioni mirate. 

Che informazioni si possono estrarre con questo sistema?
  • Se hai un amico con un nome specifico o una parola chiave nel nome;
  • se ti piace una pagina specifica o se sei membro di un gruppo;
  • se ai tuoi amici piace una determinata pagina;
  • se hai mai pubblicato tue foto in determinati luoghi/paesi;
  • se hai pubblicato sulla tua timeline post con specifiche parole chiave/testo;
    ecc...
Insomma almeno potenzialmente la gamma di query personalizzate potrebbe essere infinita. 
Detto in breve questa vulnerabilità espone interessi e attività di utenti target e dei suoi amici anche nel caso in cui le impostazioni della privacy impediscano la visualizzazione di queste informazioni ai profili non amici. 

Il bug è stato segnalato a Facebook e il gigante social ha risolto il problema aggiungendo protezioni contro gli attacchi CSRF. 


Leggi tutte le news     |     Leggi tutti gli update
Ultime news

MARTEDÌ 23 LUGLIO 2019
Hacking della Webcam: come impedire la violazione della tua privacy?
Immagina, un giorno, di aprire la posta in arriva e trovare una email che contiene tue immagini private o intime. Sotto le immagini, lampeggia una richiesta di riscatto "...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Premi & Certificazioni
Scheda riepilogativa
Clienti
Dicono di noi
Trova un rivenditore
Manuali e schede tecniche
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Supporto
Contratto EULA.
Download Upgrade

S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482

© 2019 nwk - Privacy Policy - Cookie Policy - Login