Facebook ha rivelato di aver risolto due falle nella sicurezza individuate tramite i programmi di bug bounty utilizzati dal social per scovare questo tipo di problemi. Dopo lo scandalo Cambridge Analytica, la compagnia ha ampliato il proprio programma di ricompense per la segnalazione di vulnerabilità, includendo anche l’uso improprio dei dati degli utenti da parte di sviluppatori di terze parti. Lo scorso settembre, la compagnia ha ricevuto da parte di Yakov Shafranovich, un ricercatore di Nightwatch Security, un report riguardante il metodo poco sicuro con cui un’applicazione per Android stava copiando e conservando dei dati provenienti dal social media.

Dati a rischio

L’app, il cui nome non è stato reso noto, è ancora disponibile sul Play Store e fornisce agli utenti funzionalità che non sono normalmente presenti all’interno della piattaforma. Ha registrato oltre un milione di download. Facebook è riuscita a risolvere la falla nella sicurezza a novembre, ma ha rivelato la sua esistenza solo di recente. Nightwatch Security spiega che il modo poco sicuro in cui l’applicazione stava conservando i dati avrebbe potuto consentire agli hacker di mettere facilmente le mani sulle informazioni personali di oltre un milione di utenti.

La seconda falla

Recentemente, un’altra falla nella sicurezza è stata segnalata a Facebook dal ‘cacciatore di bug’ Samm0uda. L’utente ha individuato un problema nel social media che avrebbe potuto essere sfruttato dagli hacker per effettuare degli attacchi CSRF e prendere il controllo degli account di vari utenti. Durante i suoi test, Samm0uda ha scoperto che tramite il bug era possibile non solo postare sulla timeline dei vari fruitori del social, ma anche cancellare le loro immagini del profilo e indurli con l’inganno a eliminare i propri account. Dopo aver ricevuto la segnalazione del ‘cacciatore di bug’ il 26 gennaio, Facebook è riuscito a risolvere il problema pochi giorni dopo (il 31 gennaio). La compagnia ha ricompensato Samm0uda con 25,000 dollari.