Il ricercatore belga Inti De Ceukelaire ha scovato un problema dalle conseguenze preoccupanti nel modo in cui Facebook gestisce i link condivisi dagli utenti, con gli URL che a quanto pare sono destinati a diventare di pubblico dominio anche se gli utenti li hanno condivisi attraverso una conversazione privata della app Messenger .
La “vulnerabilità” si trova all’interno della API Graph di Facebook , anche se a quanto pare non si tratta affatto di una falla ma di una vera e propria funzionalità dedicata agli sviluppatori: le query di accesso alla API possono essere condotte con identificativi casuali per individuare gli URL condivisi in privato dagli utenti.
La spiegazione di Facebook al lavoro di ricerca di De Ceukelaire – che partecipava al programma di caccia ai bug finanziato dal social network – ha ribaltato il problema: ogni volta che un utente condivide un URL, il servizio assegna un identificativo all’oggetto e lo archivia all’interno del suo database.
Il database può essere poi interrogato pubblicamente tramite Graph , ha riferito ancora Facebook, e poco importa che il ricercatore sia riuscito a mettere mano su documenti sensibili o personali, o comunque a trovare link a risorse che non sarebbero mai dovute divenire di pubblico dominio.
Il rischio per la sicurezza – che per Facebook non esiste – si potrebbe estendere anche a eventuali attacchi e scansioni “di massa” da parte di cyber-criminali, con l’uso di VPN e credenziali di accesso multiple per individuare il maggior numero di ID a oggetti “sensibili” potenzialmente interessanti dal punto di vista economico.
Alfonso Maruccia
-
Mi scancello
XXXXXXX, mi ci scancello subbbito!iRobyRe: Mi scancello
- Scritto da: iRoby> XXXXXXX, mi ci scancello subbbito!Non serve a niente. Oramai la 'frittata' e fatta, dati in cloud in ...mila copie rindondanti, e terzi già in possesso dei tuoi bit. :(Il fuddaroRe: Mi scancello
Puoi sempre modificarli e lasciare lì dei dati fake. Credo che prendano per buoni solo i dati più recenti... :Dxx ttDopo che il padella avrà acquistato
LinkedIn, cosa accadrà?Tutti i componenti della difesa usa si dovranno iscrivere per appoggiare il padella ? ... (rotfl)lo hanno già fatto con win10 ...prova123interessante
sarà stata attratta dall'ottima sicurezza di linkedin. dadada!iMaccaroneRe: interessante
ma li interverrà il padella con Windows Defender! (rotfl)prova123__________
LinkedIn adesso farà la fine di Nokia, RARE, Lionhead Studios e altri.LinkZRe: __________
- Scritto da: LinkZ> LinkedIn adesso farà la fine di Nokia, RARE,> Lionhead Studios e altri.speriamo ;)Fulmy(nato)i portavoce mascherati da pennivendoli
Hanno comprato un bel bidone.mario gio folliRe: i portavoce mascherati da pennivendoli
- Scritto da: mario gio folli> Hanno comprato un bel bidone.Non credo proprio.Si prendono un social già avviato, utenti schedati (da soli) nel calderone. Aziende a più non posso.Step 2.Pubblicità a gogò sui prodotti MSProfilazione degli utenti e delle aziende.....Bidone?devil64Re: i portavoce mascherati da pennivendoli
Bidone.bidonaroRe: i portavoce mascherati da pennivendoli
> Bidone.Bidone si...ma non vuoto. I dati degli utenti sono valutati cash con la strategia Padelliana.Ad es. potrebbero vendere indagini di mercato sui prodotti di aziende terze. Oppure potrebbero giocare sXXXXX contro la concorrenza, visto che potranno fare advertising pesante all'interno del servizio.Altro esempio: potrebbero cercare di creare servizi spyCloud da collegare al sito in modo da agganciare gli utenti al loro spionaggio industriale e obbligare gli utenti all'uso della spyEdition.In questo senso penso ad es. alla possibilità di pubblicare delle demo da mettere in vetrina, come ad es. del codice dimostrativo già fatto, direttamente nello spyCloud. Così eventuali aziende interessate al professionista potranno visionarlo (ovviamente tramite la spyEdition).Certo sono cose che si possono fare anche senza l'aiutino M$, ma magari il Padella pensa di rendere la cosa molto trendy.Resta da capire se ne sarà valsa la pena rispetto al vero prezzo che andranno a pagare (che non è assolutamente detto sia questo) e soprattutto se il Padella sarà in grado di non esagerare con l'intrusività, facendo scappare tutti o quasi.xx ttRe: i portavoce mascherati da pennivendoli
- Scritto da: devil64> - Scritto da: mario gio folli> > Hanno comprato un bel bidone.> Non credo proprio.> Si prendono un social già avviato, utenti> schedati (da soli) nel calderone. Aziende a più> non> posso.> Step 2.> Pubblicità a gogò sui prodotti MS> Profilazione degli utenti e delle aziende.....> Bidone?Ecco uno che almeno si è avvicinato al "fuoco", fuochino, fuochino!Tutti gli altri per ora ACQUA.Il fuddaroRe: i portavoce mascherati da pennivendoli
- Scritto da: Il fuddaro> - Scritto da: devil64> > - Scritto da: mario gio folli> > > Hanno comprato un bel bidone.> > Non credo proprio.> > Si prendono un social già avviato, utenti> > schedati (da soli) nel calderone. Aziende a più> > non> > posso.> > Step 2.> > Pubblicità a gogò sui prodotti MS> > Profilazione degli utenti e delle aziende.....> > Bidone?> > Ecco uno che almeno si è avvicinato al "fuoco",> fuochino,> fuochino!> > Tutti gli altri per ora ACQUA.a me sembra solo che il padella non sappia più che pesci pigliare. Rimpiango ballmerdropsoldi sprecati
Cioé, prima il padella accoppa windows mobile e poi compra un bidone di social a prezzo folle? E dove vorrebbe farlo girare 'sto coso? Su windoz 9 desktop? No signori miei, 'sto coso deve girare su IOS e Android...Figuriamoci se Apple e Google non si organizzeranno per offrire una soluzione concorrente a linkedin.[img]http://i0.kym-cdn.com/entries/icons/original/000/002/691/Naamloos-1.gif[/img]Tasya PadellaRe: soldi sprecati
- Scritto da: panda rossa> Responsabile senior dell'integrita'> clinico-sanitaria> aziendale.(rotfl)(rotfl)(rotfl)Macaca SylvanaRe: soldi sprecati
Ti sei sentito subito preso in causa , vero ? :Daphex_twinRe: soldi sprecati
- Scritto da: aphex_twin> Ti sei sentito subito preso in causa , vero ? :DPer niente. In realta' pensavo a te. (rotfl)panda rossaRe: soldi sprecati
detto fatto https://it.linkedin.com/in/massimo-pavanel-86796b97detto fattoRe: soldi sprecati
Non avete capito lui ha la giaguar non la jaguar. :Dgiaguareggi ando ma con merdecesNokia
hanno fatto una tragedia per Nokia (e l'hanno pagata meno di un terzo). si lamentano che non hanno soldi per gli sviluppatori e i tester di wm10 e poi li "investono" in questo modo.....bancaiRe: Nokia
- Scritto da: bancai> hanno fatto una tragedia per Nokia (e l'hanno> pagata meno di un terzo). si lamentano che non> hanno soldi per gli sviluppatori e i tester di> wm10 e poi li "investono" in questo> modo.....Ma cosa dici? I tester per W10 sono i "furbi" che hanno installato "gratis" W10 SpyWare edition!Elronddifficile da capire
mi pare un investimento enorme.. l'unica idea che pare di intravedere e' lo spostamento verso l'utenza "aziendale" di tutto l'ecosistema, come sucXXXXX per office cloud abbandono smartphone consumer etc. una specie di novella IBM per sistemi aziendali...oppure, boh! ma ricordo cosa si immaginava di non caapire su nokia, mentre avevamo tutti pensato immediatamente fosse una scelta suicida, e invece poi tale si e' rivelata..rudyRe: difficile da capire
- Scritto da: rudy> mi pare un investimento enorme.. l'unica idea che> pare di intravedere e' lo spostamento verso> l'utenza "aziendale" di tutto l'ecosistema, come> sucXXXXX per office cloud abbandono smartphone> consumer etc.> > una specie di novella IBM per sistemi aziendali.> > ..oppure, boh! ma ricordo cosa si immaginava di> non caapire su nokia, mentre avevamo tutti> pensato immediatamente fosse una scelta suicida,> e invece poi tale si e'> rivelata..Concordo, è una mossa che non si capisce molto, però ho l'impressione la Microsoft stia facendo qualcosa di abbastanza grandioso, molto di più di quello che ha fatto Google.Gli unici che usano i computer sono ormai i professionisti, visto che per gli altri, tablet e cellulari bastano e avanzano.Secondo me puntano molto in alto e vogliono passare dall'offrire programmi per lavorare (buoni o cattivi che siano non è questo il punto), all'offire una integrazione completa e trasparente utente, magari coinvolgendo anche l'intelligenza artificiale su cui stanno facendo molto lavoro.In quest'ottica avere a disposizione il mondo dei contatti e delle competenze professionali è uno step non indifferente.Igornon capisco le valutazioni del valore
non capisco le valutazioni del valore di queste compagnie internet facebook twitter ecceterail fatturato e gli utili (a parte google) non mi sembrano così eccelsi da giustificare valutazioni enormipoi qui pagano in contanti uno sproposito per cosa? per il numero di utenti e bastaehehehRe: non capisco le valutazioni del valore
- Scritto da: eheheh> poi qui pagano in contanti uno sproposito per> cosa? per il numero di utenti e> bastaBuona l'ultima vedi che non ci voleva tanto? ;)Capitan OvvioRe: non capisco le valutazioni del valore
utenti che da un giorno all'altro se ne possono andare su un sito simileehehehRe: non capisco le valutazioni del valore
- Scritto da: eheheh> utenti che da un giorno all'altro se ne possono> andare su un sito> simileSe vuoi aprire il tuo, farai affaroni :DHopRe: non capisco le valutazioni del valore
- Scritto da: eheheh> utenti che da un giorno all'altro se ne possono> andare su un sito similecome hanno fatto tutti quelli che usavano Watsapp prima dell'acquisizione da parte di Facebook ;)-----------------------------------------------------------Modificato dall' autore il 14 giugno 2016 15.31-----------------------------------------------------------Fulmy(nato)Re: non capisco le valutazioni del valore
- Scritto da: eheheh> utenti che da un giorno all'altro se ne possono> andare su un sito> simileEstiXXXXX non ce lo vogliamo mettere?Era vero prima è vero ora.Si chiama rischio di impresa.Che poi l'operazione sia sensata non lo dice nessuno e tanto meno io.Capitan OvvioRe: non capisco le valutazioni del valore
" poi qui pagano in contanti uno sproposito per cosa ?"Non pensi che queste cifre possano essere invenzioni del marketing?Non è certo da oggi che si sparano cifre colossali, quando la realtà è molto minore.Per esempio nel mondo del cinema sono decenni che fanno a gara a chi le spara più grosse.E non parliamo delle sanzioni comminate dai vari enti di tutela, che all'atto pratico si riducono del 90 percento o più.Capitan MarketteRe: non capisco le valutazioni del valore
> Non pensi che queste cifre possano essere> invenzioni del> marketing?Eh già... false comunicazioni di borsa, un reato che in US ti vale qualche decennio di carcere: chi non lo farebbe.nome e cognomeRe: non capisco le valutazioni del valore
> il fatturato e gli utili (a parte google) non mi> sembrano così eccelsi da giustificare valutazioni> enormiLinkedin fattura quasi 3 miliardi di dollari l'anno in fortissima crescita negli ultimi anni. Se conti che solo di cassa netta ha 4 miliardi... > poi qui pagano in contanti uno sproposito per> cosa? per il numero di utenti e> bastaCosa ci vogliano fare boh... ma che si tratti di società profittevoli è indubbio. Hai presente youtube? Comprato per 1.6 B$ sembrava una follia (all'epoca youtube fatturava circa 160 M$ l'anno), ora il fatturato di youtube annuo è 5 volte tanto (l'investimento).nome e cognomeLos hermanos fetontes
E via sempre più potere, sempre più controllo e sempre più soldi a sempre meno persone.Ma è possibile che questi politicastri di me#@a non riescano a vedere a cosa porterà questo trend, evidente anche ai ragazzini?Beh, ho parlato di potere, e il potere corrompe.Non solo chi lo possiede...OginoRe: Los hermanos fetontes
Piove governo ladro.fxzdezRe: Los hermanos fetontes
- Scritto da: Ogino> E via sempre più potere, sempre più controllo e> sempre più soldi a sempre meno> persone.> Ma è possibile che questi politicastri di me#@a> non riescano a vedere a cosa porterà questo> trend, evidente anche ai> ragazzini?Quelli che vengono votati da te? :DHopGrazie, il tuo commento è in fase di approvazioneGrazie, il tuo commento è stato pubblicatoCommento non inviatoGrazie per esserti iscritto alla nostra newsletterOops, la registrazione alla newsletter non è andata a buon fine. Riprova.Leggi gli altri commentiAlfonso Maruccia 14 06 2016
Ti potrebbe interessare