Google e Facebook offline
SICUREZZA INFORMATICA

Facebook, nuovo bug permette agli hacker di rubarti dati

Un bug di Chrome potrebbe permettere di estrapolare informazioni personali dagli account di persone, anche se non abbiamo nessun rapporto con loro sul social

14 Novembre 2018 - Un nuovo bug, potenzialmente rischiosissimo per la nostra privacy quando navighiamo su Facebook, è stato scoperto dal ricercatore Ron Masas della società di sicurezza informatica Imperva. Si tratta di una vulnerabilità che permette a un sito, tramite un codice malevolo, di rubare molti dati personali ad un utente quando, dopo aver fatto il login su Facebook, inizia a navigare sul web con il browser Chrome. Il bug riguarda quindi solo l’uso di Facebook da PC o su mobile tramite browser e non tramite l’app ufficiale.

Tra i dati personali a rischio ci sono gli interessi dell’utente e anche dei suoi amici su Facebook. La tecnica usata per farlo si chiama cross-site request forgery (CSRF): un sito può rubarci i dati inserendo nel codice un “Iframe” (una parte di codice che crea un minisito all’interno di un altro sito) che inizia a lanciare richieste di informazioni a Facebook e le ottiene in base ai diversi “Mi Piace” che ogni utente ha messo a pagine, interessi, luoghi e così via.

Come comporta il bug di Facebook su Chrome

Masas ha scoperto questo bug mentre analizzava una vulnerabilità del browser Google Chrome che permetteva agli hacker di rubare i dati personali degli utenti del social blu. Il ricercatore afferma che in questo modo è possibile rubare anche le informazioni dei nostri amici, persino se tali informazioni sono state condivise solo con gli amici e non in pubblico. Sempre Masas sostiene che tramite richieste più sofisticate si è in grado di reperire informazioni sulle preferenze religiose degli utenti, o capire quali dei suoi amici vivono in una determinata area geografica.

Problema che riguarda Chrome

Un portavoce di Facebook ha risposto alle domande di TechCrunch in merito a questo bug affermando che “Poiché il difetto in questione non dipende da Facebook, abbiamo raccomandato ai produttori dei browser e ai gruppi che elaborano i più importanti standard del web di impegnarsi a prevenire questo tipo di problemi in altre applicazioni web”. Sempre secondo il portavoce, inoltre, non risulta che ci siano stati effettivi casi di furto di dati personali con questo sistema scoperto da Imperva.

Questo bug è stato scoperto da Masas a Maggio e solo in questi giorni è stato rivelato, dopo che è stato corretto con una patch all’interno della versione 68 di Chrome. All’epoca della scoperta del bug Chrome era usato dal 58% degli utenti di internet, oggi siamo a oltre il 61%. L’ultimo grosso bug di Facebook scoperto, a settembre, ha invece causato la fuoriuscita dai database del social network di numerose informazioni su ben 29 milioni di profili. In quel caso la vulnerabilità dipendeva dal codice del social di Mark Zuckerberg.