Facebook chiude la porta d'accesso a ogni account

Vale 15mila dollari la segnalazione di un bug che consentiva di sfruttare il meccanismo di reset delle password per forzare l'accesso a qualsiasi profilo

Roma – La disattenzione di Facebook è stata determinante nel socchiudere al ricercatore di sicurezza indiano Anand Prakash un accesso a tutti i profili del social network: ad agevolarlo, la mancanza del meccanismo di sicurezza che limita a una manciata di tentativi l’inserimento di codici di reset.

Prakash ha messo alla prova il sistema di reset delle password di accesso a favore degli utenti smemorati, che consiste nell’invio, al numero di telefono o all’email di riferimento associati all’account, di un codice a sei cifre che l’utente inserirà come prova della propria identità per creare una nuova password. Genericamente, basti pensare al contesto del dibattuto caso in corso tra Apple e l’FBI, il sistema di inserimento del codice è protetto da una misura di sicurezza che limita i tentativi di inserimento, proprio per scongiurare abusi come quello che è riuscito al ricercatore indiano.

È possibile inserire una dozzina di volta il codice di recupero della password sul sito ordinario di Facebook, prima che la procedura venga bloccata: non si verificava altrettanto su beta.facebook.com , la versione del sito dedicata ai test degli sviluppatori. Chiunque sarebbe stato in grado di inserire un numero infinito di codici a sei cifre con un attacco a forza bruta, per guadagnare l’accesso a qualsiasi account e impostare una nuova password, ed è quello che ha dimostrato Prakash.

Il ricercatore ha prontamente segnalato a Menlo Park il problema e nel giro di un giorno il social network vi ha posto rimedio. Facebook ha riferito che il proprio sito dedicato agli sviluppatori ha prestato il fianco agli attacchi per 72 ore: il meccanismo che limita il numero di tentativi di inserimento era attivo prima di un aggiornamento che ha dato origine alla vulnerabilità.
Una decina di giorni dopo la segnalazione, il ricercatore indiano è stato ricompensato con 15mila dollari, sulla base del programma di taglie introdotto anni fa.

Gaia Bottà

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • 123macaco scrive:
    Pazzesco
    Il risultato, per chi s'intende di AI ed affini, è semplicemente incredibile, il superamento di uno step storico nello sviluppo delle reti neurali.
  • Qualcuno scrive:
    Ora si ragione
    La sfida sta diventando particolarmente interessante. Chi non conosce il go, meglio che se lo studi, per capire l'entità dei risultati che sta raggiungendo AlphaGo.
    • panda rossa scrive:
      Re: Ora si ragione
      - Scritto da: Qualcuno
      La sfida sta diventando particolarmente
      interessante. Chi non conosce il go, meglio che
      se lo studi, per capire l'entità dei risultati
      che sta raggiungendo
      AlphaGo.Perche'?Se non si sa giocare a go, non si capisce l'entita'?Non basta sapere il numero delle possibili mosse per capire l'entita'?
      • A I scrive:
        Re: Ora si ragione
        No ci vuole troppa intelligenza!(rotfl)(rotfl)
      • Kaliya scrive:
        Re: Ora si ragione
        No. Il Go è un'arte marziale di una bellezza incredibile, e, raffinatezza suprema, una partita si può vincere di mezzo punto.
        • panda rossa scrive:
          Re: Ora si ragione
          - Scritto da: Kaliya
          No. Il Go è un'arte marziale di una bellezza
          incredibile, e, raffinatezza suprema, una partita
          si può vincere di mezzo
          punto.Arte marziale?Io sapevo che bisognava mettere le pietre sulle intersezioni, non che bisognasse spaccare la tavola con un colpo di gomito.
      • Verzasoft scrive:
        Re: Ora si ragione
        - Scritto da: panda rossa
        Non basta sapere il numero delle possibili mosse
        per capire
        l'entita'?No, perchè le AI non ragionano per puro calcolo di ogni scenario possibile, altrimenti ci metterebbero secoli per sputare fuori il risultato sulla mossa da fare. E non sarebbero AI ma... enormi tabelle di input-output.
        • panda rossa scrive:
          Re: Ora si ragione
          - Scritto da: Verzasoft
          - Scritto da: panda rossa

          Non basta sapere il numero delle possibili mosse

          per capire

          l'entita'?

          No, perchè le AI non ragionano per puro calcolo
          di ogni scenario possibile, altrimenti ci
          metterebbero secoli per sputare fuori il
          risultato sulla mossa da fare. E non sarebbero AI
          ma... enormi tabelle di
          input-output.Non ho mica detto che le calcolano tutte.Ho detto che per farsi una idea dell'entita' dei risultati, come diceva l'OP, non e' necessario saper giocare ne' sapere come ragiona il software.Basta sapere che le possibilita' sono quelle, e il numero e' enorme.Piu' degli scacchi, che si giocano su una matrice 8x8 mentre il go si gioca su una matrice 19x19.
Chiudi i commenti