Fonte: PcWorld.it

E’ stato scoperto un problema di sicurezza nel noto social network che consentiva a chiunque di diventare amministratore di una pagina.

Un problema tecnico presente sul sito Facebook.com, il noto portale di social network, ha permesso a un utente di diventare amministratore di diverse pagine senza avere nulla a che fare con i gruppi e i fan club interessati.

A scoprire la vulnerabilità, che potenzialmente avrebbe permesso a un malintenzionato di prendere possesso di pagine importanti e inviare messaggi agli ignari utenti, è stato Tom Krieglstein, fondatore dell’azienda Swift Kick che si occupa di tecnologie a Chicago, diventando per gioco amministratore di 17 pagine tra cui quella aziendale di Microsoft e delle compagnie aeree Southwest Airlines e American Airlines.

La possibilità di diventare amministratore della pagina di Star Wars, che contava oltre 825.000 fan, ha consentito a Krieglstein di inviare agli utenti iscritti un messaggio.

Dopo segnalazione, Facebook ha subito preso provvedimenti disattivando i privilegi all’utente e correggendo il bug che consentiva di diventare amministratori. Probabilmente questa vulnerabilità è legata al recente aggiornamento grafico, come ammette lo stesso Krieglstein, ma ciò che stupisce è la tempestività con cui Facebook abbia rimesso tutto a posto in poche ore.

Fonte: La Rebubblica Milano

Nessuna arma complicata o tecniche del futuro: per violare i segreti di un’azienda basta un po’ di pazienza, un modo di fare seducente e un’iscrizione a Facebook. A spiegarlo è Raoul Chiesa, uno dei primi hacker italianiNessuna arma complicata o tecniche del futuro: per violare i segreti di un’azienda basta un po’ di pazienza, un modo di fare seducente e un’iscrizione a Facebook, la rete sociale del momento. A spiegarlo è Raoul Chiesa, uno dei primi hacker italiani e oggi componente del comitato direttivo Clusit, l’Associazione italiana per la sicurezza informatica presso l’Università di Milano.

“Sui social network – racconta Chiesa – c’è stato un esperimento interessante un mese fa: una società di sicurezza, che di mestiere fa test di intrusione e di attacco informatico, è stata ingaggiata da una multinazionale in cui l’uso di Facebook non solo è autorizzato, ma è anche uno strumento di lavoro. Dopo un mese passato a studiare i profili dei lavoratori, questa società ha creato una collega che non esisteva ma abbastanza appariscente, e proprio grazie al gergo imparato studiando i dipendenti è riuscita in tre mesi, utilizzando solo Facebook come vettore di attacco, a carpire informazioni sensibili alla società”.

Read the rest of this entry »

Fonte: PCWORLD

Una nuova applicazione maligna minaccia gli utenti di Facebook. Ne ha dato notizia Sophos, avvisando gli iscritti al popolare sito della presenza di questo messaggio fasullo che sfrutta l’interesse delle persone per le modifiche apportate alle condizioni d’uso di Facebook. Battezzata “Facebook — closing down!!!“, questa applicazione invia messaggi fasulli a tutti i contatti presenti nell’elenco di un utente, esortando i destinatari a installarla e consentendo ai malintenzionati di accedere ai profili e ai dati personali delle vittime. Non solo, involontariamente inoltrano il messaggio fasullo a tutti i loro contatti.

Si tratta del secondo problema di sicurezza in una settimana. In precedenza, gli utenti si erano visti recapitare messaggi fasulli, inviati da un’altra applicazione maligna chiamata “Error Check System“, che li informavano di errori nella visualizzazione dei loro profili e li dirottavano su siti web malevoli non appena cliccavano sul link contenuto nel messaggio per ottenere maggiori informazioni.

“Facebook consente a chiunque di scrivere un’applicazione – ha dichiarato Walter Narisoni di Sophos Italia -, ma non la controlla prima di pubblicarla, ciò favorisce la proliferazione di malware per creare database per rubare l’identità degli ignari utenti”. L’applicazione è già stata rimossa, ma altre applicazioni simili starebbero circolando sul popolare sito di social networking con il nome di “My account” e “Reported For Rule Breaking”.

Read the rest of this entry »