Il difetto di progettazione fa in modo che gli hacker potevano infiltrarsi nel tuo account e vedere gli elenchi di contatti coi quali hai scambiato messaggi, che potevano quindi essere utilizzati per gli scopi più disparati. Facebook è stato sorpreso a esporre più volte i dati degli utenti privati agli estranei l’anno scorso, scatenando l’indignazione internazionale.
Ma sembra che Facebook non sia ancora riuscito a ripulire completamente le sue operazioni: un nuovo bug lascia scoperte ancora più informazioni private per gli hacker.
Sfruttando il design della popolare app di Messenger, è stato possibile determinare a chi (persone o anche bot) avete inviato messaggi.
Questa potrebbe essere una brutta notizia per le persone che vogliono mantenere segrete le loro chat, perché basta fare clic su un video per essere scoperti, come rivelato dall’esperto della sicurezza di Imperva, Ron Masas.
“Potrebbe essere inviato a obiettivi di alto profilo per capire con chi hanno avuto una conversazione”, ha detto Masas a CNet.
“Se mandassi un messaggio a un bot per ordinare le pizze, lo saprei.”
Quindi, come funziona?
Per prima cosa, un hacker ha bisogno di farti cliccare su un link fasullo, che può essere mascherato da video per distrarti.
“Successivamente, abbiamo bisogno che l’utente faccia clic in qualsiasi punto della pagina. Ad esempio, questo potrebbe essere un pulsante di riproduzione video.
“Una volta cliccato, si apre una nuova scheda mantenendo aperta quella precedente sullo sfondo.”
La scheda precedente avrebbe quindi analizzato iFrame, che è un tipo di codice che ti consente di incorporare video.
Per qualche ragione, Messenger ha caricato informazioni dei contatti con i quali hai chattato nel codice iFrame.
Masas è stato in grado di creare uno strumento per analizzare queste informazioni e quindi tracciare con chi hai parlato.
È un grosso errore di progettazione, ma Facebook afferma di aver risolto il problema a dicembre dell’anno scorso.
“Questo è un problema di browser, non un problema di Messenger“, ha detto a The Sun un portavoce di Messenger.
“Abbiamo già formulato raccomandazioni ai produttori di browser per evitare che questo tipo di problema si verifichi.
“Abbiamo anche aggiornato la versione web di Messenger per garantire che questo comportamento del browser non sia attivato sul nostro servizio.”
Tuttavia, è un motivo di preoccupazione per gli utenti che si aspettano che Facebook riesca a cogliere questi problemi prima che possano essere sfruttati dagli hacker.
Peggio ancora, la rivelazione arriva pochi giorni dopo che il fondatore di Facebook Mark Zuckerberg ha scritto un lungo post sul blog in cui spiega come la sua azienda si trasformerà in un modello “incentrato sulla privacy“.
Preziosi ricordi o motivi di imbarazzo?
Il miliardario ha promesso di “fermare le vecchie foto che tornano a perseguitarti” e ha promesso di introdurre più messaggi crittografati e autodistruggenti.
Ha detto che l’azienda voleva assicurarsi che le informazioni vengano conservate per periodi di tempo più brevi.
“Le persone vogliono sapere che ciò che condividono non tornerà più a ferirle in seguito, e riducendo il periodo di tempo in cui le loro informazioni sono archiviate e accessibili aiuterà“, ha scritto.
“Man mano che creiamo ampie raccolte di messaggi e foto nel tempo, possono diventare una responsabilità oltre che una risorsa.
“E se tutti i post su Facebook e Instagram sparissero, le persone perderebbero l’accesso a molte preziose conoscenze e esperienze che altri hanno condiviso.”
Ha anche detto che potrebbe essere sicuro che i messaggi vengano cancellati dopo un mese o un anno per impostazione predefinita, il che “ridurrebbe il rischio che i tuoi messaggi riemergessero e ti imbarazzasse in seguito“.
Zuckerberg ha continuato dicendo che presto potresti inviare messaggi privati tra Facebook, Instagram e WhatsApp, in modo che gli amici possano comunicare se non utilizzano le stesse app.
