Un ricercatore indipendente, l’indiano Anand Prakash, ha mostrato come fosse possibile accedere all’account Facebook di chiunque avesse impostato un numero di telefono per il recupero dei dati di autenticazione.
La vulnerabilità scoperta da Prakash è tanto semplice quanto pericolosa.
Quando un iscritto a Facebook richiede l’invio di un PIN temporaneo sul proprio cellulare per lo sblocco dell’account (e che quindi consente di accedere senza specificare alcuna password), questo deve essere digitato, così com’è, nell’apposita casella.
Nel caso in cui il PIN fosse digitato in maniera scorretta, dopo dieci tentativi errati, Facebook blocca nuovamente l’account.
Prakash ha tuttavia scoperto che sul sito beta.facebook.com
, “copia” del social network principale in cui i tecnici di Facebook “testano” le nuove funzionalità in corso di sviluppo, non vi era alcun controllo sul numero di tentativi.
Il ricercatore, come si vede nel video che ripubblichiamo, ha così potuto avviare un attacco brute-force, teso ad “indovinare” – per successivi tentativi – il PIN di sblocco dell’account Facebook.
L’attacco brute-force si è rivelato, tra l’altro, molto semplice da effettuarsi proprio perché non si tratta di risalire a lunghe password alfanumeriche (magari contenenti anche caratteri speciali; vedere Memorizzare password e gestirle in sicurezza) ma di un numero di sei cifre.
Facebook, ringraziando Prakash per aver segnalato il problema in forma privata e per non aver sfruttato la vulnerabilità per causare danni, ha versato al ricercatore un premio in denaro pari a 15.000 dollari.