Che la sicurezza e la privacy su Facebook fossero quasi un’utopia non è notizia nuova.C’è però una piccola storia che non ha comunque avuto una grande diffusione in rete ma che,anche a costo di essere ripetitivi merita attenzione.La notizia è che il team di inj3ct0r.com ha recentemente violato un certo numero di server utilizzati da Facebook per offrire una delle classiche apps che hanno invaso il popolare social network.L’applicazione è stata facilmente scardinata attraverso delle SQL injections che hanno rivelato nome utente e password di qualche decina di utenze,oltre a fornire dati preziosi sul tipo di configurazione dei server,nello specifico equipaggiati con Mysql.La cronaca e l’illustrazione completa dell’attacco è consultabile sul sito del team,dove un laconico “There’s no 100% security!” vale più di mille parole.
Al di là delle considerazioni morali sui metodi poco ortodossi di gestione della privacy da parte di Facebook,l’utente deve tenere presente che le cattive abitudini di programmazione utilizzate per le applicazioni presenti sul social network possono nascondere gravi problematiche di sicurezza.Il consiglio dunque è di limitare quanto più possibile l’accesso di applicazioni esterne al nostro account e di modificare con frequenza la password del profilo,per evitare che un attacco simile a quello visto sopra possa far cadere in mani poco sicure le vostre credenziali di login e con esse,l’intero contenuto del vostro profilo.
Guarda che il team inj3ctor, ha semplicemente bucato il server dove era hostata l’applicazione, che non è quello di facebook, bensì il normale server dell’idiota che aveva codato (male) l’applicazione stessa.
Di conseguenza, i dati provenivano dal suo db, di certo non quello di facebook.
E hanno pure fatto la figura degli idioti loro del team, poichè, fomentati da quello che credevano di aver appena fatto, hanno fatto girare questa notizia senza nemmeno rendersi conto che effettivamente avevano solo bucato il server di un povero sfigato.
Tant’è vero che, nelle varie tabelle mostrate, ci sono le classiche tabelle di WordPress … e non credo proprio che FB usi wordpress per girare -.-
Prima di scrivere queste cose, un bravo blogger dovrebbe accertarsi che le informazioni di cui dispone siano veritiere
Salve evilsocket,
ad una attenta lettura del testo puoi notare la frase “server utilizzati da Facebook”, e non server residenti nei datacenter di Facebook.Difatti il nostro articolo ha voluto porre l’accento sulla pericolosità delle applicazioni mal codificate da elementi terzi e altrettanto mal verificate dallo staff di Facebook.
Saluti e grazie per l’intervento.