Facebook tradisce col telefono

Una falla nel sistema di ricerca interno al social network permette di raccogliere facilmente i dati di coloro che hanno collegato il proprio numero di telefono all'account
Una falla nel sistema di ricerca interno al social network permette di raccogliere facilmente i dati di coloro che hanno collegato il proprio numero di telefono all'account

Attraverso un bug di Facebook è possibile ottenere grandi quantità di informazioni personali relative a quegli utenti che hanno legato l’account sul social network ad un numero di telefono.

A scoprire l’errore presente nelle impostazioni di ricerca di Facebook è stato il ricercatore di sicurezza Reza Moaiandin: per quanto poco nota, tra le opzioni di privacy del social network ce n’è una che permette di individuare un account personale attraverso il numero di telefono del device eventualmente ad esso collegato .

Il problema è generato dalla convergenza di due questioni apparentemente disgiunte: la possibilità di collegare il proprio account ad un determinato numero di telefono per alcune funzioni, in particolare di Messenger, e la non corrispondenza tra la volontà di tener nascosta tale informazione sensibile e la scelta di poter essere trovato da chiunque.

In pratica se nelle impostazioni un utente ha scelto di rendere l’esistenza del proprio profilo pubblica e non circoscritta a determinate condizioni (per esempio l’esistenza di contatti comuni tra chi effettua la ricerca e il profilo ricercato), una query sul social network può portare al proprio account e conseguentemente alle informazioni da esso fornite anche attraverso il proprio numero di telefono ed anche se l’utente aveva scelto di tenerlo nascosto.

Attraverso tale impostazione errata – dunque – è possibile racimolare numerose informazioni sugli utenti Facebook: utilizzando un semplice algoritmo si possono generare numeri di telefono e con un semplice script che sfrutta le stesse API del sito in blu è possibile verificare eventuali account Facebook ad essi collegati. Risalendo, quindi, subito ai nomi dei relativi titolari e alle altre informazioni condivise sul social network e impostate come “pubbliche”.

Per quanto Reza Moaiandin abbia provato a notificare a Facebook il problema, i responsabili del social network che gli hanno risposto hanno inizialmente avuto difficoltà a riprodurre la problematica individuata e ad una seconda segnalazione hanno riferito essersi messi all’opera per rimediare alla situazione, non considerandola tuttavia una questione di sicurezza.

Claudio Tamburrino

Link copiato negli appunti

Ti potrebbe interessare

Link copiato negli appunti