Come un hacker potrebbe bucare milioni di account Facebook
Una delle domande che spesso ci poniamo è: “Come posso violare un account Facebook?“; se pur la domanda sembri semplice, la risposta non è affatto facile da trovare, ma pochi giorni fa un noto hacker ha dimostrato al mondo intero che è possibile violare milioni di account Facebook avendo semplicemente alcune competenze informatiche di base.
Non importa quanto sia “robusta” o complessa la tua password.
Il californiano Gurkirat Singh recentemente ha scoperto una falla nel procedimento di reimpostazione della password di Facebook che darebbe all’attaccante l’accesso completo agli account delle vittime consentendo, quindi, di visualizzare le conversazioni, i dati della carta di credito, etc… Il metodo di attacco è semplice, ma l’esecuzione è molto difficile.
Il social network utilizza un algoritmo che genera un codice casuale a 6 cifre – cioè 10⁶ = 1.000.000 di combinazioni possibili – che non cambia fino a quando viene “utilizzato” (su richiesta di mbasic.facebook.com). Questo significa che se 1 milione di persone richiedesse una nuova password in un breve lasso di tempo e nessuno di questi utilizzerebbe il proprio codice per reimpostare la password, allora vorrà dire che tra le 1.000.001 delle persone che hanno richiesto il cambio password ce ne sarà qualcuna a cui sarà attribuito un codice per la reimpostazione già assegnato ad un altro ID Facebook.
Gurkirat ha prima raccolto dei validi ID di Facebook facendo delle query alle Facebook Graph API partendo dall’ID 100000000000000, visto che gli ID sono composti genericamente da 15 cifre, e poi ha visitato l’url corrispondente puntando a www.facebook.com/[ID], sostituendo ovviamente l’ultima parte con un valido ID.
Una volta immessa l’url nel browser, Facebook automaticamente reindirizza l’ID alla username scelta dall’utente, in questo modo è riuscito a creare una lista di 2 Milioni di username verificati.
Quindi utilizzando uno script, centinaia di proxy e user-agent casuali, Gurkirat ha automatizzato la procedura di richiesta del codice di reset per questi 2 milioni di utenti. Ha poi scelto un codice a 6 cifre casuale ed hai iniziato la procedura di reset delle password con una tecnica di bruteforce tramite uno script, sperando che la sequenza da lui scelta corrispondeva a quella assegnata da Facebook ad uno dei 2 milioni di username.
Come possiamo proteggere il nostro account Facebook?
Approvazione degli accessi: Utilizzando l’approvazione degli accessi, Facebook invierà un codice di sicurezza a 6 cifre tramite SMS al numero telefonico associato all’account se si accede con il proprio account da un nuovo computer, dispositivo o un browser diverso.
Attivare la notifica di accesso: Facebook fornisce anche una funzione di sicurezza, che invia una mail o SMS ad ogni accesso effettuato al vostro account.