Lo scorso mese un ricercatore di nome Anand Prakash ha scoperto e segnalato una grave falla su Facebook che rendeva banale aggirare la sicurezza del famoso social network in una determinata situazione ed agire indisturbati nel profilo di un’altra persona.
Questo grave bug è costato caro all’azienda di Palo Alto che ha sborsato ben 15.000$ per la sua correzione: come è minimamente possibile tutto ciò?
La falla si basa su un metodo piuttosto comune e a primo avviso poco importante. Quando si richiede il reset del proprio account, infatti, viene generato automaticamente un PIN di sei cifre da utilizzare come password temporanea; solitamente l’accesso viene bloccato dopo cinque o dieci tentativi errati ma, nel caso in cui si cerchi di entrare tramite il sito beta.facebook.com, questo non avviene.
L’attacco via bruteforce è piuttosto semplice da programmare e potrebbe avere delle conseguenze molto gravi come in questo caso: fortunatamente Prakash lo ha segnalato prontamente nella pagina di report delle vulnerabilità ed ha ricevuto un compenso di 15.000$.
Il progetto bug bounty, attivo in molte aziende, ha portato certamente i propri frutti e, in questo preciso esempio, ci suggerisce che è il rischio ciò che conta piuttosto che la complessità nel raggiungimento del bug.