Un tool consente di trovare le corrispondenze tra indirizzi email e account Facebook, sfruttando una vulnerabilità del social network. Il tool in questione non è stato distribuito dall’azienda di Menlo Park, ma circola nei forum di hacking. Il suo funzionamento è stato mostrato ad alcuni ricercatori di sicurezza da una fonte anonima. Alon Gal, co-fondatore di Hudson Rock, ha condiviso una breve clip su YouTube, mentre un altro esperto (Ashkan Soltani) ha pubblicato su Twitter la trascrizione audio del video originale.
Facebook conferma il problema
La tecnica sfruttata dal tool è la stessa utilizzata per creare un database con oltre 533 milioni di account, ovvero la “raschiatura” (scraping) dei dati degli utenti. In questo caso viene cercata una corrispondenza tra indirizzi email e account Facebook, sfruttando una vulnerabilità del front end. Ciò è possibile anche se l’utente ha impostato l’indirizzo come privato.
Facebook Email Search v1.0, questo il nome del tool, consente di cercare il matching di oltre 5 milioni di indirizzi email al giorno. Secondo il ricercatore che ha svelato il problema, l’obiettivo è prendere il controllo delle pagine e degli account usati per le campagne pubblicitarie per ottenere un profitto.
HUGE: A source just tipped me off about a vulnerability that lets attackers find the profiles of almost any Facebook account using an email list.
Facebook knows about the vulnerability and won't fix it even though it affects almost every Facebook user!https://t.co/uR07Xr6NDb pic.twitter.com/WtyMmrulkO
— Alon Gal (Under the Breach) (@UnderTheBreach) April 20, 2021
Il video è stato reso pubblico perché Facebook ha ritenuto poco grave la vulnerabilità. Invece si tratta di un “leak” piuttosto pericoloso, soprattutto se combinato con i numeri di telefono ricavati dal database con 533 milioni di account. Successivamente, l’azienda di Menlo Park ha comunicato che la segnalazione del bug era stata chiusa per errore, confermando che il problema esiste e che verranno attuate misure per mitigarlo o risolverlo al più presto.