Un ricercatore indiano ha dimostrato come fosse possibile ottenere i dati di accesso di qualsiasi utente sfruttando un sito in beta
Si chiama Anand Prakash ed è l’ingegnere informatico indiano che ha messo in crisi Facebook. Il ragazzo ha infatti dimostrato come fosse possibile, oltre che facile, effettuare un attacco di tipo brute force ai danni del portale beta di Facebook, durante la richiesta di una nuova password. Succede questo: quando un utente ha dimenticato la sua parola segreta, può cliccare su un paio di link che lo rimandano alla possibilità di ottenere sei codici sul proprio cellulare, così da resettare la chiave di accesso.
Cosa succede
Il punto è che esiste anche una versione beta di Facebook, sfruttata per lo più dagli sviluppatori, che non gode delle stesse misure di sicurezza del sito generale. Non servono allora i 12 tentativi di inserimento del codice, dopo i quali l’account viene bloccato, perché sul portale beta Anand ha utilizzato parte del software Burp Suite per bombardare il sistema di richiesta codice fino all’ottenimento automatico di quello giusto, così da entrare a pieno diritto nel profilo e cambiare a proprio piacimento la password. Fortunatamente il problema è stato risolto da Facebook che, per il disturbo, ha ricompensato il tecnico con 15.000 dollari. Per capire la gravità del bug che affliggeva la beta del social network, basti pensare che uno smaliziato utente, tramite Tor, avrebbe potuto hackerare tanti profili senza lasciare alcuna traccia in rete. L’incubo di Mr. Zuckerberg.