Hackerato Facebook: tutte le app e i siti a rischio
L'attacco informatico che ha colpito oltre 50 milioni di profili ha reso vulnerabili anche le pagine web e i programmi che permettono la registrazione e il login tramite il "pulsante" Fb
E' di ieri, venerdì 28 settembre, la nota ufficiale della stessa Facebook con cui informava il mondo di aver subito un data breach che ha colpito circa 50 milioni di account. Quello che non è stato detto è che questo attacco informatico mette a rischio non solo le informazioni e dati degli utenti presenti su Facebook ma anche praticamente tutte le applicazioni e siti web che prevedono la registrazione e accesso tramite il pulsante Facebook.
I criminal hacker sono riusciti a generare gli access Token dei profili compromessi. L'access Token è una stringa di comandi che permette di effettuare azioni di lettura, modifica e scrittura dei dati del profilo assegnato. Gli access token sono la chiave digitale che autorizza la registrazione e accesso diretto e automatico su tutte le app come Spotify, Instagram e tanti siti web.
Il data breach
Il più famoso social network ha dichiarato di aver identificato il cyber attack il 25 settembre. Facebook ha prontamente segnalato l'incidente informatico all'FBI e all'Irish Data Protection Commission. Sono state avviate le indagini e al momento non ci sono riscontri ufficiali su chi siano gli autori del data breach.
Lo stesso Mark Zuckerberg ha dichiarato essere un incidente estremamente serio e preoccupante. Ha anche precisato e sottolineato come sia evidente che gli attacchi informatici siano ormai una costante quotidiana. Attacchi che hanno lo scopo e obiettivo di sottrarre informazioni.
La Vulnerabilità Sfruttata
In realtà non è stata usata una singola vulnerabilità ma la combinazione di alcune vulnerabilità di due sistemi differenti integrati e interconnessi. Il tutto nasce dall'aggiornamento effettuato da Facebook a Luglio 2017. Era stato rilasciata una delle tante nuova funzionalità che permetteva di caricare video di "Happy Birthday". Andiamo ad analizzare come è stato condotto il data breach
Fase 1: Vulnerabilità 1
La prima vulnerabilità è relativa alla funzione "Visualizza come" di Facebook. Questa funzionalità ha/aveva lo scopo di permettere agli utenti di vedere come il proprio profilo veniva visualizzato dagli altri utenti e amici in base alle impostazioni privacy configurate. La funzionalità è stata rimossa, in precedenza era disponibile nell'angolo in basso a destra dell'immagine di copertina, cliccando sui tre pallini. L'aggiornamento del luglio 2017 ha generato un bug. Utilizzando la funzionalità "Visualizza come", alcune volte, la piattaforma permetteva comunque di pubblicare un video di compleanno da inviare ad un amico. Ricordiamo che la funzionalità in questione doveva permettere solo di vedere come veniva visualizzato il proprio profilo dagli altri utenti.
Fase 2: Vulnerabilità 2
La seconda vulnerabilità era presente proprio nella funzionalità "Happy Birthday". In questo caso gli hacker sono riusciti a generare l'access token dell'utente a cui è stato inviato il video. Di conseguenza, con l'access token dell'utente vittima, i malintenzionati hanno avuto accesso all'account dell'utente stesso.
Fase 3: Ricomincia da Fase 1
Ottenuto l'accesso al profilo della vittima, è possibile sfruttare l'intero procedimento utilizzando questo account
Aspetti Legali: Normativa GDPR
Il regolamento europeo sulla protezione dei dati GDPR molto probabilmente ha "costretto" Facebook a segnalare prontamente la violazione entro le 72 ore dal momento in cui si è venuto a conoscenza della violazione dei dati. La notizia era stata comunque è stata resa pubblica in contemporanea anche dal New York Time
Alcuni Dubbi di Cyber Security
Prima di tutto dobbiamo precisare che Facebook ha dichiarato di aver risolto la criticità. Questo incidente solleva diversi dubbi relativi al Cyber Security framework di Facebook.
Access Token: Sebbene gli access token di accesso non siano la password, consentono a chiunque abbia la "stringa" di accedere agli account senza password.
Interconnessione: La possibilità di utilizzare la registrazione/login Facebook su praticamente qualsiasi sistema digitale rappresenta un grave rischio in termini di software supply chain cyber security. Lo conferma questa violazione che di fatto interessa anche le app di terze parti collegate al account Facebook, incluso Instagram,...
Tempo di reazione: L'attacco informatico ha impattato "solo" il 2,5% degli utenti, nel caso di Facebook stiamo parlando di 50 Milioni di profili. Non ci sono dubbi sul fatto che l'attacco sia stato completamente automatizzato ma raccogliere 50 milioni di dati comporta del tempo. Come è possibile che una realtà come Facebook non sia riuscita immediatamente ad identificare l'anomalia?
Vulnerability Assessment e Penetration Testing: non una ma due vulnerabilità su sistemi rilasciati più di un anno fà. Sarebbe interessante capire e comprendere il framework di sicurezza preventiva adottata da Facebook in termini di analisi delle vulnerabilità.
Il prossimo futuro? Non aspettiamoci un futuro roseo per Facebook (e non solo).
Aumenteranno gli attacchi informatici: Facebook è il database più ricco di informazioni e dati (oltre 20 miliardi di utenti)
Aumenteranno le vulnerabilità: l'integrazione di tante e svariate funzionalità con l'integrazione di sistemi terzi aumenta la complessità e la difficoltà per qualsiasi team di sicurezza informatica.