|
admin
Webmaster
Regione: Italy
Prov.: Pisa
Città: Capannoli
24812 Messaggi |
 Inserito il - 12/05/2011 : 11:27:33
|
Facebook sotto scacco sulla privacy
Facebook, la tempesta imperfetta della privacy in blu
da punto-informatico.it
Una vulnerabilità nelle API di Facebook avrebbe permesso ad almeno 100mila applicazioni di consegnare inavvertitamente i token per l'accesso a milioni di informazioni personali degli utenti in blu. Intraprese, in ritardo, misure correttive
Roma - A lanciare l'allarme ci ha pensato una analisi pubblicata sul blog ufficiale di Symantec, società specializzata in sicurezza informatica. Una specifica vulnerabilità delle API sfruttate da Facebook avrebbe permesso ad un numero spropositato di applicazioni di avere accesso - in maniera quasi totale - alle informazioni contenute in milioni di profili in blu.
Date di nascita, indirizzi fisici e di posta elettronica, album fotografici, addirittura conversazioni avvenute tramite messaggi privati o chat. Contenuti ed informazioni finite nelle mani di terze parti - per lo più advertiser - consegnate inavvertitamente da almeno 100mila applicazioni presenti sul gigantesco social network.
Stando all'analisi condotta dagli esperti di Symantec, la massiva fuoriuscita di dati sarebbe andata avanti per anni, con centinaia di migliaia di applicazioni pronte a consegnare milioni di token per il libero accesso alle informazioni. Gli stessi esperti di Symantec hanno sottolineato come i singoli sviluppatori non debbano essere considerati per forza responsabili.In altre parole, ad essere vulnerabili sarebbero le API di Facebook, attive fin dal primo lancio delle applicazioni in blu nel 2007. Symantec non è riuscita a quantificare la possibile mole di dati e informazioni che potrebbero essere ancora nelle grinfie di società terze e signori dell'advertising.
Pare che i responsabili di Facebook abbiano già intrapreso misure correttive, in collaborazione con la stessa Symantec. Agli utenti più allarmati è stato consigliato di modificare la propria password d'accesso al sito in blu. Un aggiornamento della Developer Roadmap del social network ha inoltre obbligato tutte le applicazioni a sfruttare i parametri del nuovo standard di sicurezza OAuth 2.0.
Un post apparso sul blog ufficiale di Facebook ha tuttavia sottolineato come l'analisi condotta da Symantec presenti delle inesattezze. Secondo Douglas Purdy, a capo delle relazioni con gli sviluppatori, un'inchiesta interna al sito avrebbe confermato la mancata condivisione di informazioni personali con società terze o advertiser.
Stando al parere dello stesso Purdy, una società sarebbe comunque obbligata a rispettare i termini di servizio imposti da Facebook, che vietano attualmente lo sfruttamento dei dati personali degli utenti. C'è un piccolo dettaglio: nessuna vulnerabilità delle API di Facebook dovrebbe permettere alle applicazioni di rilasciare i token per milioni di informazioni.
Mauro Vecchio
---
Facebook sotto scacco sulla privacy
di Daniela Roveda
Chi ha Facebook farebbe bene a cambiare la sua password immediatamente. La società di sicurezza informatica Symantec Corp ha scoperto infatti che per anni il social network ha involontariamente dato alle società di e-commerce l'accesso a tutti i dati personali degli abbonati, incluso il profilo, i messaggi, le foto e persino i profili degli amici. Facebook ha dichiarato di avere preso le misure necessarie per correggere il problema.
La plateale invasione della privacy è iniziata nel 2007, da quando Facebook ha consentito agli abbonati di accedere ad applicazioni gestite da terzi (giochi, shopping, siti di informazione) dal proprio sito. Inconsapevolmente Facebook ha condiviso con queste società terze i cosiddetti «token», le chiavi per accedere al profilo degli abbonati. Secondo le stime di Symantec, circa 100mila applicazioni hanno distribuito in giro tokens per quattro anni, anche se non tutte le società terze si sono rese conto di avere in mano la chiave per aprire la cassaforte di preziose informazioni contenute nelle pagine dei 600 milioni di abbonati a Facebook.
Al termine di un'indagine interna, Facebook ha concluso che le informazioni personali degli abbonati non sono state usate impropriamente da società terze. Queste società, ha aggiunto, sono obbligate contrattualmente a non farlo.
Ma la scoperta di Symantec lascia aperti molti dubbi su come Facebook, e molte altre aziende Internet, proteggano la privacy dei propri abbonati. L'allarme suonato da molte società di sicurezza informatica e da privati cittadini sulla questione della privacy ha convinto il Senato Usa ad indire un'intera audizione l'altro ieri sulle tecnologie impiegate da Apple e Google per localizzare la posizione degli abbonati ai loro telefonini.
Recenti indagini hanno verificato infatti che Apple e Google determinano costantemente la posizione geografica dei loro abbonati. Un'inchiesta del Wall Street Journal ha rivelato che 47 delle 101 applicazioni più usate dagli smartphones (applicazioni sviluppate e vendute da società terze) trasmettono dati sugli spostamenti degli abbonati ad aziende che li usano a scopi pubblicitari. Il consiglio dato da Apple e Google agli abbonati è stato quello di disarmare la funzione che registra la posizione del telefonino.
La Apple è finita nel mirino delle critiche perché è possibile localizzare la posizione del telefonino anche quando questa funzione è spenta; una nuova versione del sistema operativo dovrebbe correggere questo malfunzionamento.
da ilsole24ore.com
---
Facebook, 100.000 apps hanno rubato dati per anni
Un bug di sicurezza di Facebook ha permesso alle applicazioni di rubare codici di accesso per anni.
Pubblicato: 12/05/2011 09:45 - bitcity.it
La società di sicurezza Symantec ha pubblicato una notifica sul loro blog che rivela una falla nelle API web di Facebook, che avrebbe permesso alle applicazioni di avere accesso ai dati degli account utente. Questi dati includono profili, foto, chat e tutte le informazioni dell'utente.
Per fortuna, dice Symantec, queste applicazioni di terze parti non erano consapevoli di questa possibilità. Facebook è stato informato che il problema esiste e si sono subito mossi per eliminare la vulnerabilità.
Le applicazioni iframe di Faceboook, che sono incorporate nelle pagine web, inavvertitamente inviavano i token di accesso agli inserzionisti e alle piattaforme di analisi. Symantec stima che circa 100k applicazioni sono state capaci di perdere le informazioni.
«Si stima che nel corso degli anni, centinaia di migliaia di applicazioni possono avere inavvertitamente trapelato milioni di token di accesso a terzi.»
Symantec raccomanda a tutti gli utenti di Facebook di cambiare la password del profilo immediatamente. Cambiare la password invalida questi token e rimuovere la possibilità di accedere al profilo personale da parte di applicazioni di terze parti.
---
http://www.symantec.com/connect/blogs/facebook-applications-accidentally-leaking-access-third-parties
http://online.wsj.com/article/SB10001424052748703730804576315682856383872.html
|
|
![[AmadeuX BiblioForum]](https://www.amadeux.it/forum/immagini/amadeuxcomm1.jpg "[AmadeuX BiblioForum]")
Facebook sotto scacco sulla privacy
