Facebook, link condivisi privati ma non troppo

Un ricercatore identifica una vulnerabilità potenzialmente molto pericolosa nell'API ufficiale di Facebook, un problema che potrebbe mettere a rischio la privacy degli utenti e non solo. La risposta di Facebook: è una funzionalità

Roma – Il ricercatore belga Inti De Ceukelaire ha scovato un problema dalle conseguenze preoccupanti nel modo in cui Facebook gestisce i link condivisi dagli utenti, con gli URL che a quanto pare sono destinati a diventare di pubblico dominio anche se gli utenti li hanno condivisi attraverso una conversazione privata della app Messenger .

La “vulnerabilità” si trova all’interno della API Graph di Facebook , anche se a quanto pare non si tratta affatto di una falla ma di una vera e propria funzionalità dedicata agli sviluppatori: le query di accesso alla API possono essere condotte con identificativi casuali per individuare gli URL condivisi in privato dagli utenti.

La spiegazione di Facebook al lavoro di ricerca di De Ceukelaire – che partecipava al programma di caccia ai bug finanziato dal social network – ha ribaltato il problema: ogni volta che un utente condivide un URL, il servizio assegna un identificativo all’oggetto e lo archivia all’interno del suo database.
Il database può essere poi interrogato pubblicamente tramite Graph , ha riferito ancora Facebook, e poco importa che il ricercatore sia riuscito a mettere mano su documenti sensibili o personali, o comunque a trovare link a risorse che non sarebbero mai dovute divenire di pubblico dominio.

Il rischio per la sicurezza – che per Facebook non esiste – si potrebbe estendere anche a eventuali attacchi e scansioni “di massa” da parte di cyber-criminali, con l’uso di VPN e credenziali di accesso multiple per individuare il maggior numero di ID a oggetti “sensibili” potenzialmente interessanti dal punto di vista economico.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Ogino scrive:
    Los hermanos fetontes
    E via sempre più potere, sempre più controllo e sempre più soldi a sempre meno persone.Ma è possibile che questi politicastri di me#@a non riescano a vedere a cosa porterà questo trend, evidente anche ai ragazzini?Beh, ho parlato di potere, e il potere corrompe.Non solo chi lo possiede...
    • fxzdez scrive:
      Re: Los hermanos fetontes
      Piove governo ladro.
    • Hop scrive:
      Re: Los hermanos fetontes
      - Scritto da: Ogino
      E via sempre più potere, sempre più controllo e
      sempre più soldi a sempre meno
      persone.
      Ma è possibile che questi politicastri di me#@a
      non riescano a vedere a cosa porterà questo
      trend, evidente anche ai
      ragazzini?Quelli che vengono votati da te? :D
  • eheheh scrive:
    non capisco le valutazioni del valore
    non capisco le valutazioni del valore di queste compagnie internet facebook twitter ecceterail fatturato e gli utili (a parte google) non mi sembrano così eccelsi da giustificare valutazioni enormipoi qui pagano in contanti uno sproposito per cosa? per il numero di utenti e basta
    • Capitan Ovvio scrive:
      Re: non capisco le valutazioni del valore
      - Scritto da: eheheh
      poi qui pagano in contanti uno sproposito per
      cosa? per il numero di utenti e
      bastaBuona l'ultima vedi che non ci voleva tanto? ;)
      • eheheh scrive:
        Re: non capisco le valutazioni del valore
        utenti che da un giorno all'altro se ne possono andare su un sito simile
        • Hop scrive:
          Re: non capisco le valutazioni del valore
          - Scritto da: eheheh
          utenti che da un giorno all'altro se ne possono
          andare su un sito
          simileSe vuoi aprire il tuo, farai affaroni :D
        • Fulmy(nato) scrive:
          Re: non capisco le valutazioni del valore
          - Scritto da: eheheh
          utenti che da un giorno all'altro se ne possono
          andare su un sito similecome hanno fatto tutti quelli che usavano Watsapp prima dell'acquisizione da parte di Facebook ;)-----------------------------------------------------------Modificato dall' autore il 14 giugno 2016 15.31-----------------------------------------------------------
          • eheheh scrive:
            Re: non capisco le valutazioni del valore
            infatti il problema sono gli utenti che non cambiano le loro abitudini
        • Capitan Ovvio scrive:
          Re: non capisco le valutazioni del valore
          - Scritto da: eheheh
          utenti che da un giorno all'altro se ne possono
          andare su un sito
          simileEstiXXXXX non ce lo vogliamo mettere?Era vero prima è vero ora.Si chiama rischio di impresa.Che poi l'operazione sia sensata non lo dice nessuno e tanto meno io.
    • Capitan Markette scrive:
      Re: non capisco le valutazioni del valore
      " poi qui pagano in contanti uno sproposito per cosa ?"Non pensi che queste cifre possano essere invenzioni del marketing?Non è certo da oggi che si sparano cifre colossali, quando la realtà è molto minore.Per esempio nel mondo del cinema sono decenni che fanno a gara a chi le spara più grosse.E non parliamo delle sanzioni comminate dai vari enti di tutela, che all'atto pratico si riducono del 90 percento o più.
      • nome e cognome scrive:
        Re: non capisco le valutazioni del valore

        Non pensi che queste cifre possano essere
        invenzioni del
        marketing?Eh già... false comunicazioni di borsa, un reato che in US ti vale qualche decennio di carcere: chi non lo farebbe.
    • nome e cognome scrive:
      Re: non capisco le valutazioni del valore

      il fatturato e gli utili (a parte google) non mi
      sembrano così eccelsi da giustificare valutazioni
      enormiLinkedin fattura quasi 3 miliardi di dollari l'anno in fortissima crescita negli ultimi anni. Se conti che solo di cassa netta ha 4 miliardi...
      poi qui pagano in contanti uno sproposito per
      cosa? per il numero di utenti e
      bastaCosa ci vogliano fare boh... ma che si tratti di società profittevoli è indubbio. Hai presente youtube? Comprato per 1.6 B$ sembrava una follia (all'epoca youtube fatturava circa 160 M$ l'anno), ora il fatturato di youtube annuo è 5 volte tanto (l'investimento).
  • rudy scrive:
    difficile da capire
    mi pare un investimento enorme.. l'unica idea che pare di intravedere e' lo spostamento verso l'utenza "aziendale" di tutto l'ecosistema, come sucXXXXX per office cloud abbandono smartphone consumer etc. una specie di novella IBM per sistemi aziendali...oppure, boh! ma ricordo cosa si immaginava di non caapire su nokia, mentre avevamo tutti pensato immediatamente fosse una scelta suicida, e invece poi tale si e' rivelata..
    • Igor scrive:
      Re: difficile da capire
      - Scritto da: rudy
      mi pare un investimento enorme.. l'unica idea che
      pare di intravedere e' lo spostamento verso
      l'utenza "aziendale" di tutto l'ecosistema, come
      sucXXXXX per office cloud abbandono smartphone
      consumer etc.

      una specie di novella IBM per sistemi aziendali.

      ..oppure, boh! ma ricordo cosa si immaginava di
      non caapire su nokia, mentre avevamo tutti
      pensato immediatamente fosse una scelta suicida,
      e invece poi tale si e'
      rivelata..Concordo, è una mossa che non si capisce molto, però ho l'impressione la Microsoft stia facendo qualcosa di abbastanza grandioso, molto di più di quello che ha fatto Google.Gli unici che usano i computer sono ormai i professionisti, visto che per gli altri, tablet e cellulari bastano e avanzano.Secondo me puntano molto in alto e vogliono passare dall'offrire programmi per lavorare (buoni o cattivi che siano non è questo il punto), all'offire una integrazione completa e trasparente utente, magari coinvolgendo anche l'intelligenza artificiale su cui stanno facendo molto lavoro.In quest'ottica avere a disposizione il mondo dei contatti e delle competenze professionali è uno step non indifferente.
  • bancai scrive:
    Nokia
    hanno fatto una tragedia per Nokia (e l'hanno pagata meno di un terzo). si lamentano che non hanno soldi per gli sviluppatori e i tester di wm10 e poi li "investono" in questo modo.....
    • Elrond scrive:
      Re: Nokia
      - Scritto da: bancai
      hanno fatto una tragedia per Nokia (e l'hanno
      pagata meno di un terzo). si lamentano che non
      hanno soldi per gli sviluppatori e i tester di
      wm10 e poi li "investono" in questo
      modo.....Ma cosa dici? I tester per W10 sono i "furbi" che hanno installato "gratis" W10 SpyWare edition!
  • Tasya Padella scrive:
    soldi sprecati
    Cioé, prima il padella accoppa windows mobile e poi compra un bidone di social a prezzo folle? E dove vorrebbe farlo girare 'sto coso? Su windoz 9 desktop? No signori miei, 'sto coso deve girare su IOS e Android...Figuriamoci se Apple e Google non si organizzeranno per offrire una soluzione concorrente a linkedin.[img]http://i0.kym-cdn.com/entries/icons/original/000/002/691/Naamloos-1.gif[/img]
  • mario gio folli scrive:
    i portavoce mascherati da pennivendoli
    Hanno comprato un bel bidone.
    • devil64 scrive:
      Re: i portavoce mascherati da pennivendoli
      - Scritto da: mario gio folli
      Hanno comprato un bel bidone.Non credo proprio.Si prendono un social già avviato, utenti schedati (da soli) nel calderone. Aziende a più non posso.Step 2.Pubblicità a gogò sui prodotti MSProfilazione degli utenti e delle aziende.....Bidone?
      • bidonaro scrive:
        Re: i portavoce mascherati da pennivendoli
        Bidone.
        • xx tt scrive:
          Re: i portavoce mascherati da pennivendoli

          Bidone.Bidone si...ma non vuoto. I dati degli utenti sono valutati cash con la strategia Padelliana.Ad es. potrebbero vendere indagini di mercato sui prodotti di aziende terze. Oppure potrebbero giocare sXXXXX contro la concorrenza, visto che potranno fare advertising pesante all'interno del servizio.Altro esempio: potrebbero cercare di creare servizi spyCloud da collegare al sito in modo da agganciare gli utenti al loro spionaggio industriale e obbligare gli utenti all'uso della spyEdition.In questo senso penso ad es. alla possibilità di pubblicare delle demo da mettere in vetrina, come ad es. del codice dimostrativo già fatto, direttamente nello spyCloud. Così eventuali aziende interessate al professionista potranno visionarlo (ovviamente tramite la spyEdition).Certo sono cose che si possono fare anche senza l'aiutino M$, ma magari il Padella pensa di rendere la cosa molto trendy.Resta da capire se ne sarà valsa la pena rispetto al vero prezzo che andranno a pagare (che non è assolutamente detto sia questo) e soprattutto se il Padella sarà in grado di non esagerare con l'intrusività, facendo scappare tutti o quasi.
      • Il fuddaro scrive:
        Re: i portavoce mascherati da pennivendoli
        - Scritto da: devil64
        - Scritto da: mario gio folli

        Hanno comprato un bel bidone.
        Non credo proprio.
        Si prendono un social già avviato, utenti
        schedati (da soli) nel calderone. Aziende a più
        non
        posso.
        Step 2.
        Pubblicità a gogò sui prodotti MS
        Profilazione degli utenti e delle aziende.....
        Bidone?Ecco uno che almeno si è avvicinato al "fuoco", fuochino, fuochino!Tutti gli altri per ora ACQUA.
        • drop scrive:
          Re: i portavoce mascherati da pennivendoli
          - Scritto da: Il fuddaro
          - Scritto da: devil64

          - Scritto da: mario gio folli


          Hanno comprato un bel bidone.

          Non credo proprio.

          Si prendono un social già avviato, utenti

          schedati (da soli) nel calderone. Aziende a più

          non

          posso.

          Step 2.

          Pubblicità a gogò sui prodotti MS

          Profilazione degli utenti e delle aziende.....

          Bidone?

          Ecco uno che almeno si è avvicinato al "fuoco",
          fuochino,
          fuochino!

          Tutti gli altri per ora ACQUA.a me sembra solo che il padella non sappia più che pesci pigliare. Rimpiango ballmer
          • pop drop e ripop scrive:
            Re: i portavoce mascherati da pennivendoli
            - Scritto da: drop
            che pesci pigliare. Rimpiango
            ballmerMa anche no.
  • LinkZ scrive:
    __________
    LinkedIn adesso farà la fine di Nokia, RARE, Lionhead Studios e altri.
    • Fulmy(nato) scrive:
      Re: __________
      - Scritto da: LinkZ
      LinkedIn adesso farà la fine di Nokia, RARE,
      Lionhead Studios e altri.speriamo ;)
  • iMaccarone scrive:
    interessante
    sarà stata attratta dall'ottima sicurezza di linkedin. dadada!
  • prova123 scrive:
    Dopo che il padella avrà acquistato
    LinkedIn, cosa accadrà?Tutti i componenti della difesa usa si dovranno iscrivere per appoggiare il padella ? ... (rotfl)lo hanno già fatto con win10 ...
  • iRoby scrive:
    Mi scancello
    XXXXXXX, mi ci scancello subbbito!
    • Il fuddaro scrive:
      Re: Mi scancello
      - Scritto da: iRoby
      XXXXXXX, mi ci scancello subbbito!Non serve a niente. Oramai la 'frittata' e fatta, dati in cloud in ...mila copie rindondanti, e terzi già in possesso dei tuoi bit. :(
      • xx tt scrive:
        Re: Mi scancello
        Puoi sempre modificarli e lasciare lì dei dati fake. Credo che prendano per buoni solo i dati più recenti... :D
Chiudi i commenti