Un ricercatore di sicurezza del Regno Unito che si fa chiamare “fin1te” si è guadagnato 20.000 dollari dopo aver scoperto un modo per entrare in qualsiasi account di Facebook, semplicemente inviando un SMS al cellulare.

Questo avrebbe dovuto – ovviamente – essere impossibile, ma a causa di una debolezza nel groviglio di milioni e milioni di linee di codice di Facebook, potenzialmente centinaia di milioni di account erano vulnerabili al dirottamento attraverso la semplice tecnica.

Fin1te (vero nome Jack Whitten) ha documentato come funziona l’hack sul suo blog.

La prima cosa da fare è inviare la lettera “F” in un messaggio SMS a Facebook, come se si stesse legittimamente registrando il proprio cellulare al social network. Nel Regno Unito, il codice breve SMS per Facebook è 32665.

Facebook risponde, via SMS, con un codice di conferma di otto caratteri.

La normale sequenza di eventi sarebbe quella di inserire quel codice di conferma in un modulo di Facebook, e andare avanti per la tua strada…

Ma fin1te ha scoperto che esisteva una vulnerabilità su quel modulo, che poteva essere sfruttata per utilizzare il codice di conferma che gli era stato inviato da Facebook via SMS con l’account di *qualsiasi* altro.

Quello che fin1te aveva scoperto era che uno degli elementi del modulo di attivazione mobile conteneva, come parametro, l’ID del profilo dell’utente. Questo è il numero unico associato all’account del tuo obiettivo.

Cambia l’ID del profilo che viene inviato da quel modulo a Facebook, e il social network potrebbe essere ingannato nel pensare che tu sia qualcun altro che collega un telefono cellulare al suo account.

Quindi, il primo passo necessario per dirottare l’account di qualcuno in questo modo richiede l’ID del profilo Facebook unico della tua vittima.

Se non sapete qual è l’ID del profilo numerico di qualcuno, potete sempre cercarlo utilizzando strumenti liberamente disponibili – non dovrebbero essere un segreto.

Sicuramente, fin1te è stato in grado di sostituire il parametro ID del profilo inviato dal suo browser a Facebook con il numero unico dell’account a cui voleva accedere…

.. e in pochi secondi il suo cellulare ha ricevuto un SMS di conferma che aveva collegato con successo il dispositivo all’account.

Successo. Un account Facebook ha ora associato il numero di cellulare di un terzo. Senza alcun bisogno di malware o phishing. Tutto ciò che è stato fatto è stato l’invio di un SMS.

La fase finale del dirottamento dell’account è semplice. Facebook ti permette di accedere al suo sistema usando il tuo numero di cellulare piuttosto che un indirizzo email, se vuoi, quindi al login inserisci il numero di cellulare che hai associato all’account della tua vittima, e richiedi un reset della password via SMS.

Sicuramente, fin1te ha scoperto che Facebook gli ha debitamente inviato il codice di reset della password dell’account – il che significa che poteva cambiare la password dell’account, e bloccare il suo utente legittimo.

Questo è un modo incredibilmente semplice ma potente per prendere il controllo dell’account Facebook di chiunque.

La buona notizia è che fin1te ha rivelato la vulnerabilità in modo responsabile a Facebook, piuttosto che sfruttarla per intenzioni maligne o venderla ad altre parti. Facebook ha risolto il problema in modo che altri non possano più approfittare di questo grave buco di sicurezza. Per i suoi problemi, Facebook ha premiato fin1te con una cospicua taglia di 20.000 dollari e ha risolto la vulnerabilità.

Ma non c’è dubbio che sul mercato sotterraneo, magari venduto a criminali informatici o agenzie di intelligence, la scoperta di fin1te avrebbe potuto fargli guadagnare ancora più soldi.

Chissà quali altre gravi vulnerabilità di sicurezza possono trovarsi all’interno di Facebook che non sono state responsabilmente segnalate al team di sicurezza della società?

Se stai pensando di lasciare Facebook, perché non ascoltare questo podcast “Smashing Security” che abbiamo registrato:

Hai trovato interessante questo articolo? Segui Graham Cluley su Twitter per leggere altri contenuti esclusivi che pubblichiamo.