Ancora problemi di data leak e violazioni di privacy per Facebook: mentre è ancora fresca la notizia del furto di dati di 553 milioni di utenti del social network, è stato scoperto un nuovo bug che permette di associare i profili agli indirizzi di posta elettronica usati per registrarsi, anche se impostati come privati. Ha denunciato il fatto il ricercatore di sicurezza Alon Gal, fondatore di Hudson Rock, che sull’argomento ha pubblicato un video su YouTube e alcuni tweet, spiegando di aver saputo da fonti confidenziali dell’esistenza di uno strumento di hacking che sta circolando online.
Il tool, chiamato Facebook Email Search v1.0, attraverso la tecnica dello scraping è in grado di collegare gli account del social network alle email usate per la registrazione: secondo quanto spiegato da Gal, “permette agli attaccanti di trovare i profili di quasi tutti gli account Facebook attraverso una lista di email”.
A detta del ricercatore, tutto ciò sarebbe possibile a causa di una vulnerabilità di cui l’azienda di Mark Zuckerberg era a conoscenza. Vulnerabilità che tuttavia Facebook non ha voluto risolvere, benché riguardi la quasi totalità degli iscritti alla piattaforma.
Ha parlato del caso anche il sito di Arstechnica, riportando le affermazioni di un ricercatore di cui non fa il nome, e spiegando che il programma può collegare fino a cinque milioni di indirizzi di posta elettronica al giorno. Il ricercatore ha detto di aver speso una cifra intorno ai 10 dollari per comprare i dati di circa 200 account del social network: “Nel giro di tre minuti, ho potuto farlo per semila account” di posta elettronica, ha aggiunto.
A suo dire, l’azienda non avrebbe mai affrontato la questione perché riteneva questo bug di poca importanza. Si tratterebbe sostanzialmente di una vulnerabilità uguale a una precedente, già risolta dall’azienda. Questa volta, invece “per qualche ragione, nonostante io l’abbia dimostrata a Facebook e li abbia informati, mi hanno detto in modo diretto che non intraprenderanno alcuna azione”.
Facebook ha replicato a queste affermazioni cercando di minimizzare: “Pare che per errore abbiamo chiuso la segnalazione di bug bounty prima di inoltrarla al team di competenza”, ha dichiarato l’azienda. “Apprezziamo la condivisione di questa informazione da parte del ricercatore e abbiamo iniziato a intervenire per mitigare il problema, mentre continuiamo a investigare per comprendere meglio”.