Immagine: Shutterstock 

50 milioni di utenti Facebook sono stati hackerati — ecco come è successo

E perché parecchie persone hanno dovuto rifare il login alla app di Facebook oggi.

|
28 settembre 2018, 8:03pm

Immagine: Shutterstock 

Venerdì, Facebook ha rivelato che un gruppo di hacker è riuscito a entrare nei server dell'azienda, impadronendosi — potenzialmente — dei dati di 50 milioni di utenti.

Nel post, Guy Rosen, vice presidente del product management di Facebook, ha dichiarato che il team di ingegneri dell'azienda "ha scoperto un problema di sicurezza che riguardava almeno 50 milioni di utenti. "È chiaro che gli hacker hanno sfruttato una vulnerabilità nel codice di Facebook che agiva sulla modalità 'Vedi come,' che permette alle persone di vedere un'anteprima esterna del proprio profilo," ha scritto Rosen. "Questo ha permesso loro di rubare i token di accesso a Facebook che hanno poi usato per prendere possesso degli account delle persone."

La vulnerabilità era il risultato di tre bug distinti ed è stata introdotta a luglio 2017," ha detto Rosen ai giornalisti durante una conferenza stampa. "È importante chiarire che gli hacker potrebbero usare l'account come se fossero i legittimi proprietari."

La vulnerabilità — che colpirebbe circa il 2,5 percento dei 2 miliardi di utenti totali di Facebook — è stata aggiustata e Facebook sta collaborando con l'FBI, ha detto Rosen.

"Abbiamo messo una patch la scorsa notte e preso misure di sicurezza per chi potrebbe essere stato colpito," ha detto il CEO Mark Zuckerberg in una conferenza con i giornalisti.

Ma cosa è successo e come, esattamente?

Il social network ha forzato 90 milioni di persone — le 50 milioni di vittime previste e altri 40 milioni che potrebbero essere stati colpiti, stando all'azienda — a fare log out e di nuovo log in. Questo perché gli hacker hanno rubato i loro "token di accesso," una sorta di chiave digitale che Facebook crea quando fai log in e che ti permette di rimanere connesso quando la app per mobile di Facebook vuole aprire un'altra parte di Facebook dentro a un browser, per esempio (pensate a quando cliccate un link).

"È importante chiarire che gli hacker potrebbero usare l'account come se fossero i legittimi proprietari."

Un token di accesso non include la password dell'utente, ma dato che permette a una persona di rimanere loggata, avere un token di accesso significa che puoi controllare completamente l'account.

"Parti del nostro sito usano un meccanismo chiamato single sign-on, che crea un nuovo token," ha spiegato sempre Rosen ai giornalisti. "Ecco come funziona: diciamo che sono loggato nella app di Facebook e che questa vuole aprire un'altra parte di Facebook in un browser; ciò che fa è usare quella funzione di single sign-on per generare un token di accesso per quel browser — il che significa che non devi fare login di nuovo in quella finestra."

Gli hacker hanno approfittato di tre vulnerabilità distinte ma collegate tra loro in ordine, per rubare i token, ha detto Rosen.

Le vulnerabilità esistono da almeno luglio 2017 e riguardano il "Vedi come", un tool di privacy che — se non lo avete mai usato — è difficile immaginare a cosa serva. In pratica, ti permette di capire se il tuo ex, tua nonna o chiunque tu voglia tenere all'oscuro di certi contenuti, possa o meno vederli sulla tua pagina.) Se vuoi, diciamo, nascondere alcuni post dal tuo arci-nemico Ugo, puoi cambiare le impostazioni della privacy in modo da permettere a quella persona di vedere solo certe cose. Poi, per controllare che funzioni, puoi usare il "Vedi come" e guardare il tuo stesso profilo come se fossi Ugo. Non sei effettivamente Ugo e non hai accesso al suo account. È solo una simulazione. Ma queste catene di bug ti avrebbero permesso, se fossi un hacker, di acquisire il token di accesso di Ugo e poi fare login nel suo account usando quel token, e da lì prendere controllo su tutto.

Il primo bug, ha spiegato Rosen, faceva sì che comparisse un video uploader sulle pagine "Vedi come" "su certi tipi di post, incoraggiando le persone a pubblicare auguri di buon compleanno. Normalmente, il video uploader non sarebbe dovuto apparire. Il secondo bug, faceva sì che questo video uploader generasse un token di accesso che aveva il permesso di fare login nella app mobile di Facebook, che non è il modo in cui questa feature "dovrebbe essere usata," stando a Rosen.

L'ultimo bug, ha spiegato Rosen, stava nel fatto che quando il video uploader appariva come parte della modalità Vedi come, generava anche un token di accesso non per l'utente, ma per la persona che fingevano di essere — essenzialmente dando a chi stava usando il "Vedi come" le chiavi di accesso all'account della persona che stavano simulando. Nell'esempio fatto poco fa, questo non solo ti avrebbe permesso di guardare il profilo di Ugo usando il "Vedi come" Ugo, ma avrebbe anche generato un token di accesso permettendoti di loggarti e prendere possesso dell'account di Ugo.

"Non sappiamo esattamente come gli account siano stati abusati finora."

"È stata la combinazione di questi tre bug che è diventata una vera vulnerabilità. E gli hacker l'hanno scoperto," ha detto Rosen. "Questo gruppo, per poter sferrare l'attacco, aveva bisogno non solo di trovare la vulnerabilità, ma anche di mettere le mani su un token e poi usarlo come perno su altri account e infine cercare altri utenti e ottenere ulteriori token di accesso."

Rosen ha detto di credere che si tratti di un attacco relativamente sofisticato, specialmente considerato l'impatto su 50 milioni di diversi login: "È un'interazione complessa di molteplici bug contemporanei," ha detto.

"Abbiamo notato l'attacco usato su una scala abbastanza ampia, ed è così che abbiamo scoperto il problema e iniziato la nostra indagine, per scoprire cosa stava effettivamente succedendo," ha detto Rosen. "Non sappiamo esattamente come gli account siano stati abusati finora."

Ryan Stortz, ricercatore in sicurezza a Trail of Bits, ha detto a Motherboard che Facebook avrebbe dovuto avere le capacità per trovare questi bug prima degli hacker.

"Facebook ha un intero filtro API che avrebbe dovuto notarlo," ha detto Stortz a Motherboard in una chat online. "Non so quale fosse il difetto, ma se sono riusciti a entrare nell'account di Zuck è un brutto guaio e dovrebbero aver avuto un filtro per prevenire la cosa a priori."

Ma un ex ingegnere della sicurezza di Facebook ha detto che non era un bug facile da trovare.

"Sembra la scoperta del secolo, il codice del 'Vedi come' è in giro da parecchio e non mi sorprende che avesse dei bug," ha detto a Motherboard Zac Morris, che ha lavorato nella divisione sicurezza di Facebook dal 2012 al 2016. "Ma usarlo come perno per accedere ai token è una roba piuttosto impressionante."

Morris ha aggiunto che "come persona colpita, sono più che altro interessato a sapere chi e perché l'ha fatto, [perché] è una cosa per cui puoi portarti a casa una ricompensa sì e no da 30.000 dollari se la denunci all'azienda, per cui devono aver avuto un motivo migliore per monetizzare l'attacco — il che mi fa paura."

Rosen ha detto che gli hacker non hanno rubato le password, per cui a meno che non vi abbiano forzati a fare log out, non dovreste essere tra le vittime e gli utenti non devono cambiare le password. Facebook ha detto di aver disabilitato temporaneamente il "Vedi come."

Zuckerberg ha detto che chi è stato colpito dall'hack riceverà una notifica in cima al news feed. "E un problema di sicurezza molto serio, e lo stiamo trattando con massima serietà," ha ribadito il CEO.

Questo articolo è apparso originariamente su Motherboard US.