Nel pomeriggio di martedì 25 settembre 2018, il team di ingegneri di Facebook ha scoperto un problema di sicurezza che ha interessato quasi 50 milioni di account Facebook. Prendendo la cosa "incredibilmente sul serio" riprendendo le parole di By Guy Rosen, VP of Product Management della società dietro il piu’ grande social network del mondo, Facebook ha voluto rendere noto a tutti cosa è successo e le azioni immediate che ha intrapreso per proteggere la sicurezza delle persone.
L’indagine degli ingegneri della sicurezza di Facebook è ancora nelle sue fasi iniziali, ma è noto che gli aggressori hanno sfruttato una vulnerabilità nel codice di Facebook che ha avuto un impatto sul "Visualizza come", la funzionalità che consente alle persone di vedere come appare il proprio profilo a qualcun altro. Ciò ha permesso ai malintenzionati di rubare i token di accesso a Facebook (l’equivalente di chiavi digitali che mantengono ‘loggate’ le persone che hanno effettuato l’accesso a Facebook in modo che non debbano reinserire la propria password ogni volta che usano l’app) per utilizzarli per prendere possesso degli account delle persone.
Facebook ha spiegato di essersi subito attivata dopo aver scoperto la violazione, risolvendo innanzitutto la vulnerabilità e informato le forze dell’ordine dell’accaduto. In secondo luogo, Facebook ha reimpostato i token di accesso dei quasi 50 milioni di account che sapeva essere interessati per proteggere la loro sicurezza. Facebook ha anche preso il provvedimento cautelativo di reimpostare i token di accesso per altri 40 milioni di account che sono stati oggetto di una ricerca "Visualizza come" nell’ultimo anno. Di conseguenza, circa 90 milioni di persone dovranno ora accedere nuovamente a Facebook o a qualsiasi app che utilizza Facebook Login. Dopo aver effettuato l’accesso, le persone ricevono una notifica nella parte superiore del proprio feed di notizie che spiega cosa è successo. In terzo luogo, Facebook ha deciso di disattivare temporaneamente la funzione "Visualizza come" mentre esegue un’analisi approfondita della sicurezza.
Stando a quanto spiegato da Guy Rosen di Facebook, questo attacco ha sfruttato una complessa interazione di più problemi nel codice su cui si basa il social network, ed è derivato da una modifica apportata alla funzione di caricamento dei video fatta nel luglio del 2017, che ha avuto un impatto sulla funzionalità "Visualizza come".
Piu’ nel dettaglio, la vulnerabilità è stata il risultato dell’interazione di tre bug distinti, come ha spiegato Pedro Canahuati, VP Engineering della Sicurezza e Privacy di Facebook. Primo, in un tipo di compositore (la casella che consente di pubblicare contenuti su Facebook), in particolare la versione che consente alle persone di augurare buon compleanno ai propri amici, il "Visualizza come" ha erroneamente fornito l’opportunità di pubblicare un video. Secondo, una nuova versione del video uploader (l’interfaccia che sarebbe stata presentata come risultato del primo bug), introdotta a luglio 2017, ha generato in modo errato un token di accesso con le autorizzazioni dell’app Facebook per dispositivi mobili. Terzo, quando l’uploader video appariva come parte del "Visualizza come" generava il token di accesso non per l’utente come visualizzatore, ma per l’utente che stava cercando. È stata la combinazione di questi tre bug a creare la vulnerabilità sfruttata: quando si utilizzava la funzione "Visualizza come" per visualizzare il proprio profilo come quello che vede un amico, il codice non rimuoveva il compositore che consente alle persone di augurarsi un buon compleanno, il video uploader generava un token di accesso quando non avrebbe dovuto e, quando generato il token di accesso, non era per l’utente loggato ma per la persona che veniva cercata. Tale token di accesso era quindi disponibile nel codice HTML della pagina, che gli autori di attacchi sono stati in grado di estrarre e sfruttare per accedere come un altro utente.
Dal momento che l’indagine per capire bene cosa sia successo è appena iniziata non è ancora stato determinato se gli account coinvolti sono stati utilizzati in modo improprio o se sono state rubate informazioni. Inoltre, non si sa ancora chi c’è dietro questi attacchi o da dove sono partiti. La società sta lavorando per comprendere meglio questi dettagli e terrà aggiornati i propri utenti. Inoltre, se saranno trovati più account interessati, verranno ripristinati i token di accesso anche di questi.
"La privacy e la sicurezza delle persone sono incredibilmente importanti e ci dispiace che ciò sia accaduto" ha commentato Rosen. "Ecco perché abbiamo intrapreso un’azione immediata per proteggere questi account e far sapere agli utenti cosa è successo".
Al momento non risulta essere necessario cambiare la propria password di Facebook, ha detto la società. Tuttavia, le persone che hanno problemi ad accedere di nuovo a Facebook, ad esempio perché hanno dimenticato la password, dovrebbero visitare il Centro assistenza [https://www.facebook.com/help/105487009541643]. Se qualcuno vuole prendere l’azione precauzionale di uscire da Facebook, dovrebbe visitare la sezione "Sicurezza e accesso" nelle impostazioni dove sono elencati i luoghi in cui si è registrati con Facebook con l’opzione "one-click" per disconnettersi da tutte.
Stando a quanto riportato dal Wall Street Journal, il social network potrebbe pagare una multa pari a 1,63 miliardi di dollari in Europa per questo attacco hacker subito e che ha colpito circa 50 milioni di profili, nel caso in cui le autorità dovessero trovare violazioni delle norme europee.
