Nei giorni scorsi abbiamo dato conto dell’aggressione che Facebook e una buona parte degli account attivati sul social network hanno subìto da parte di sconosciuti: Attacco a Facebook: almeno 50 milioni di account controllabili da malintenzionati.
Le password degli utenti non sono mai entrate in possesso degli aggressori quindi i tecnici di Facebook, una volta scoperto l’attacco, hanno potuto fermare tutte le attività sospette risolvendo la vulnerabilità che era stata sfruttate e, contemporaneamente, forzando la disconnessione degli account coinvolti.
Facendo leva su una lacuna della funzionalità “Visualizza come” (consente di verificare come si presenta la propria bacheca Facebook agli occhi degli amici e di utenti che invece non lo sono, compreso chi non fosse neppure registrato sul social network di Mark Zuckerberg), gli aggressori hanno potuto impersonificare altri utenti “rubando” i token di autenticazione altrui.
Nell’articolo Accedi con Facebook, cosa significa dopo l’attacco che ha coinvolto 50 milioni di account che cosa implica autenticarsi con Facebook sui vari servizi online, soprattutto dopo l’aggressione subita dall’azienda di Menlo Park.
Adesso i responsabili di Facebook hanno fornito nuovi dettagli sull’accaduto.
Scorrendo questa nota ufficiale si può innanzi tutto stabilire se il proprio account è stato coinvolto o meno nell’attacco scoperto alcuni giorni fa da Facebook (basta portarsi in calce alla pagina e controllare il messaggio riportato nel riquadro “Is my Facebook account impacted by this security issue?“).
I tecnici di Zuckerberg, dopo le indagini sin qui condotte, hanno potuto accertare che circa 400.000 account Facebook sono stati utilizzati – ricorrendo a procedure automatizzate – per sottrarre i token di circa 30 milioni di account.
Per circa 15 milioni di account gli aggressori hanno sottratto informazioni sull’identità degli utenti e la lista dei contatti. Nel caso di altri 14 milioni di account sarebbero stati estrapolati anche dati aggiuntivi e informazioni personali. Per un ulteriore milione di account non è stato invece razziato alcun dato.