Facebook

Facebook paga 15.000 dollari per chiudere un bug letale

Il mese scorso, un ricercatore di sicurezza di nome Anand Prakash scoprì una grave carenza nella sicurezza di Facebook. Quando un account viene reimpostato, Facebook invia un PIN a 6 cifre al telefono dell’utente, utilizzando tale PIN come una password temporanea mentre l’account viene azzerato.

Ma mentre il social network normalmente blocca l’accesso dopo dieci o dodici tentativi non andati a buon fine, Prakash ha notato che quelle protezioni erano mancanti su beta.facebook.com, dove gli sviluppatori spesso implementano nuove caratteristiche che non sono ancora pronte per diventare pubbliche. Ma dal momento che ogni account Facebook è disponibile anche sulla versione beta, il bug risultante gli ha permesso di tentare innumerevoli PIN, in modo da farlo potenzialmente entrare in qualsiasi account.

Il bug è stato il risultato di un cambiamento rilasciato sulla pagina beta pochi giorni prima, e non sembra essere stato ampiamente sfruttata prima che fosse scoperto da Prakash. Eppure, si tratta di un grave problema di sicurezza, ed è esattamente il tipo di attacco che i cacciatori di bug sono destinati a risolvere. Prakash ha inviato il bug attraverso la pagina del rapporto vulnerabilità di Facebook, e il giorno dopo, la società ha confermato che era stato sistemato. Otto giorni dopo, il social network gli ha elargito 15.000 dollari per aver segnalato il problema.

E’ una cifra alta per un bug relativamente semplice, ma come molte aziende, anche i bug di Facebook sono valutati in base al rischio e non solo alla complessità. (La pagina del programma dice che i premi sono calcolati “in base al rischio, all’impatto, e ad altri fattori”) Se il cambiamento che Prakash ha scoperto fosse stato rilasciato anche sul sito principale di Facebook, avrebbe potuto innescare diffusi attacchi ad utenti, rendendolo uno dei bug più pericolosi della storia del social network.

“Uno dei più preziosi benefici dei programmi di caccia ai bug è la capacità di trovare problemi anche prima che raggiungano la produzione”, ha dichiarato Facebook in un comunicato. “Siamo felici di riconoscere e premiare Anand per l’eccellente lavoro svolto“. Facebook ha distribuito in totale oltre 4,3 milioni di dollari a più di 800 ricercatori da quando il programma di caccia ai bug ha avuto inizio nel 2011. (Fonte)

Ti è piaciuta questa notizia? Condividila sui tuoi social preferiti!
Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Le guide più interessanti