La scoperta di vulnerabilità critiche nei grandi sistemi sta diventando un problema sempre più prioritario per i giganti del mondo tech. In base alle credenziali degli hacker con cui queste aziende hanno a che fare, imprevisti del genere rischiano di essere costosi e fastidiosi per tutte le personalità coinvolte: gli hacker blackhat sono avidi, le amministrazioni rischiano di essere ricattate con informazioni sensibili dei clienti in cambio di milioni, e molti utenti, come nel recente caso Ashley Madison, rischiano di essere pesantemente danneggiati da questo tipo di ricatti.
Pubblicità
In ogni caso, non è detto che finisca sempre tutto in tragedia—specie se questioni del genere le affrontano hacker etici come Anand Prakash. La scoperta di una vulnerabilità fatale nella schermata di login di Facebook ha assicurato al cacciatore di bug 23enne una ricompensa di 15.000 dollari da parte della compagnia e una discreta visibilità al di fuori della scena hacker del suo paese, l'India.La scoperta di Prakash è piuttosto semplice, e gli ha garantito una via sicura per entrare nell'account di Facebook di chiunque, foto personali, informazioni private e accesso ai messaggi privati incluso. In un breve post sul suo blog, Prakash spiega come entrare in oltre un miliardo di account: se dimentichi la password del tuo account, puoi resettarla inserendo il tuo numero di telefono o il tuo indirizzo email. Dopo averlo fatto, Facebook ti invierà un codice da sei cifre, con il quale potrai generare una nuova password.
Inizialmente Prakash ha provato a indovinare questo numero da sei cifre (un approccio a forza bruta, insomma), ma dopo 12 tentativi è stato bloccato. Normali protocolli di sicurezza.Dopodiché, ha osservato con più attenzione la versione desktop e mobile delle pagine beta di Facebook, e ha scoperto che in quelle pagine i programmatori avevano trascurato un dettaglio piuttosto importante.Le pagine beta.facebook.com e mbasic.beta.facebook.com erano prive di tutti i protocolli di sicurezza necessari a proteggere a dovere quel codice di sei cifre. "Così, ho provato a ottenere il controllo del mio stesso account," scrive Prakash, "e sono riuscito a inserire una nuova password. Con quella stessa password, sono riuscito poi a fare il regolare login."
In questo video Prakash ha filmato l'intera operazione (per questioni dimostrative, ha ristretto il suo attacco a forza bruta a un range compreso tra il numero 154000 e 154898):
Molti utenti sono rimasti allibiti dalla faccenda, e da come Facebook si sia fatto scappare una vulnerabilità di questo tipo. Molti hanno anche immaginato quanti soldi Prakash avrebbe potuto guadagnare se avesse venduto l'exploit nel deep web.
In questo caso Anand Prakash, che arriva da una piccola città nel Rajasthan, ha immediatamente comunicato la vulnerabilità a Facebook, che in breve tempo l'ha riparata.Non è la prima volta che Anand si occupa dei bug di Facebook—in cambio di 500$, aveva notificato a Facebook un exploit che permetteva agli utenti di rivelare il loro essere online anche se avevano deciso di spegnere la chat. Subito dopo, ha cominciato a cercare vulnerabilità più critiche, nella speranza di ottenere una posizione fissa e, ovviamente, esperienza.
In questo caso Anand Prakash, che arriva da una piccola città nel Rajasthan, ha immediatamente comunicato la vulnerabilità a Facebook, che in breve tempo l'ha riparata.Non è la prima volta che Anand si occupa dei bug di Facebook—in cambio di 500$, aveva notificato a Facebook un exploit che permetteva agli utenti di rivelare il loro essere online anche se avevano deciso di spegnere la chat. Subito dopo, ha cominciato a cercare vulnerabilità più critiche, nella speranza di ottenere una posizione fissa e, ovviamente, esperienza.
