50 milioni di account colpiti direttamente, e altri 40 scollegati in modo preventivo. Questi sono i numeri dell’attacco subito da Facebook, che Zuckerberg e il suo team hanno scoperto lo scorso martedì, ma che era presente già da molto tempo.

Si tratta della falla più grande di sempre nella sicurezza di Facebook, che ha messo in pericolo i dati di milioni di utenti. Di essa non si conosce ancora l’entità dei danni, e tutti gli sforzi dell’azienda Californiana sono orientati a scoprire chi c’è dietro l’attacco.

La falla

Il bug che ha scosso Menlo Park è legato alla funzionalità “visualizza come”, che permette di controllare come il proprio profilo viene visto dagli altri. Ciò che gli attaccanti (o l’attaccante) sono riusciti a rubare non sono le password degli account, ma i token di accesso. Essi vengono utilizzati sia per effettuare il log in senza dover inserire ogni volta i dati, sia per accedere ad app di terze parti o servizi ai quali si può accedere tramite Facebook.

Facebook avverte dell'accaduto
La comunicazione su Twitter da parte di Facebook riguardo alla sospensione degli account utente.

Il bug è stato risolto, e per ora non sembra che siano stati rubati dati relativi a carte di credito o messaggi privati, ma non se ne ha ancora la certezza. Ai 90 milioni di utenti colpiti i token sono stati resettati, costringendoli ad effettuare nuovamente il login. Tra i profili colpiti, ce ne sono anche di italiani: molti infatti hanno scritto di essere stati automaticamente “cacciati” dai propri profili, e costretti a immettere i dati di login.

Come proteggersi

La funzionalità incriminata è stata temporaneamente disabilitata in tutto il mondo, in attesa che il problema venga totalmente risolto. Le indagini sono appena iniziate, e Zuckerberg non è ancora stato in grado di dire in quale misura il bug abbia danneggiato gli utenti. Al momento non si sa nemmeno chi si celi dietro l’attacco, nè da dove provenga.

L'annuncio di Zuckerberg
Mark Zuckerberg informa gli utenti di quanto accaduto tramite un post sul proprio profilo.

Anche se Facebook ha assicurato che le password non sono state rubate, è consigliabile cambiarla come misura addizionale. Per chi possiede anche un account Instagram o Oculus, sarebbe meglio effettuare logout e login anche per queste due piattaforme.

 

LEAVE A REPLY

Please enter your comment!
Please enter your name here