Tag: sicurezza
Un bug su Facebook permette di vedere le foto private di chiunque, anche di Mark Zuckerberg
Ieri si è diffusa una scoperta sconvolgente.
Per colpa di un bug, con una semplicissima procedura è possibile vedere le foto di chiunque, anche non presente tea i propri contatti, in barba alla privacy settata.
14 foto prese dal profilo di Zuckerberg e non visibili pubblicamente sono state diffuse con il titolo “It’s time to fix those security flaws Facebook”.
Visualizzare le foto di chiunque non presente tra gli amici è di una facilità imbarazzante. E’ sufficiente cliccare su block/report, selezionare che si vuole segnalare a Facebook la foto del profilo inappropriata perché contenente foto di nudità o pornografia e poi cliccare sulla voce che chiede di aiutare Facebook ad individuare altre foto inappropriate di quella persona et voilà ecco apparire davanti ai nostri occhi tutte le foto di quel profilo.
AGGIORNAMENTO: il bug è stato prontamente sanato ed ora non è più presente la voce per ‘aiutare’ Facebook, ma l’ennesima falla nella sicurezza di Facebook dovrebbe farvi riflettere su ciò che postate, niente è veramente sicuro, pensateci bene prima di condividere i vostri contenuti!
Can You Crack It? Se ci riuscirete potrete essere assunti dalla Intelligence britannica GCHQ
Avete sempre sognato di essere uno 007?
Bene avete 7 giorni a disposizione per riuscirci.
E’ stato indetto un concorso per cercare nuovi hacker che lavoreranno nei servizi segreti britannici,
A indirlo è stato il GCHQ sigla che sta per Government Communications Headquarters, che altro non è che l’agenzia inglese ha il compito di tenere sotto controllo i sistemi di sicurezza britannici da possibili cyber-attacchi.
Basta recarsi su questa pagina “Can you crack it?” e cercare di risolvere la sfida per poi accedere all’area dove lasciare i propri dati e candidarsi per un colloquio vero e proprio.
Basta googlare per trovare la soluzione ma perché non provate a cimentarvi senza barare?
Ci siete riusciti?
Facebook vi traccia e vi spia anche quando siete disconnessi: ecco come fa e come impedirlo
Il 25 settembre Nik Cubrilovic, un hacker australiano, ha allarmato tutto il mondo con la sua eccezionale scoperta:
i cookie di Facebook permettono di tracciare tutte le nostre attività sul web anche quando non siamo connessi al social network.
Già la scorsa settimana in occasione della presentazione della nuova Timeline (o diario per gli italiani) si erano scatenate polemiche per la nuova funzione, scoperta da Dave Wine analizzando le API, che permette la condivisione di contenuti senza l’intervento umano, Facebook la chiama Frictionless Sharing, condivisione senza ostacoli, ma in realtà è una violazione bella e buona della propria privacy.
Il consiglio in quel caso è stato di effettuare sempre il logout , ma ecco che proprio su questo nasce il nuovo allarme.
Nik Cubrilovic ha infatti scoperto che anche dopo essere usciti da Facebook, il browser continua a comunicare con il social network, inviandogli tutte le pagine che visitiamo.
L’unica soluzione è eliminare tutti i cookie di Facebook ad ogni disconnessione oppure utilizzare un browser separato per le interazioni su Facebook.
Vediamo come funziona:
questa è la normale richiesta di cookie di un utente connesso:
Quando si effettua il logout questa è la risposta del server che elimina alcuni dei dati del cookie
Se si confrontano i cookie che sono stati impostati con la prima richiesta con quelli eliminati alla richiesta di logout salta subito agli occhi come alcuni non vengono cancellati, per due (local e l) vengono solo modificate le date di scadenza e ne vengono impostati 3 nuovi (W, fl, L) .
C’è ancora l’identificativo utente e viene modificato solo lo stato.
Questo cosa vuol dire? che se sloggati da Facebook visitate un qualsiasi sito che ha il plugin Facebook (ad es i siti con il bottone like) Facebook viene avvertito, e quindi avrà la cronologia delle vostre navigazioni, e pensate cosa può succedere se utilizzate facebook su un terminale pubblico…. anche se effettuate il logout tutte le successive operazioni effettuate da quel terminale (da persone sconosciute) verranno attribuite al vostro Facebook.
Nik Cubrilovic si era reso conto del problema un anno fa e aveva inviato una mail dettagliata a Facebook il 14 novembre 2010. senza nemmeno ricevere una risposta. Stanco di aspettare ha deciso di rendere pubblico il tutto.
E finalmente una risposta è arrivata. Si tratta di Arturo Bejar, un ingegnere di facebook, che ha sostanzialmente ammesso la fondatezza delle accuse ma facendola passare per una misura altruistica, fatta per il vostro bene 
volta all’identificazione di spammer o di chi tenta di rubare account ad altri e in alcun modo connessa a pubblicità mirata, e che comunque i dati vengono cancellati dopo 90 giorni. (un periodo di tempo immenso su internet a mio avviso)
Quindi Facebook non vi spia ma vi tutela?
Sarà… ma nel dubbio il consiglio è quello di utilizzare sempre la modalità di navigazione anonima di Chrome o Firefox quando usate Facebook, o di cancellare tutti i cookie ad ogni logout o meglio ancora utilizzare un browser solo per Facebook e un altro per il resto della navigazione per tutelare la vostra privacy
[Fonte:Betanews]
Skype per iPhone e iPad: grave falla in sicurezza permette di rubare dati sensibili
E’ stata scoperta una grave falla in sicurezza per la versione per dispositivi iOS di Skype.
Si tratta di una falla di tipo cross-site scripting che consente di appropriarsi di tutto il contenuto della rubrica della vittima semplicemente inserendo un codice Javascript nel proprio nome utente e inviando un messaggio alla persona di cui si vuole carpire la rubrica.
Ma la colpa è di IOS o di Skype?
Di tutte e due!
Infatti Skype non ha mai implementato un controllo che impedisca l’esecuzione di Javascript e OS permette che la rubrica sia accessibile da qualsiasi programma.
Fortunatamente il resto del file system è protetto da iOS e quindi non è possibile accedere ad altri dati.
Guardate in questo video come funziona il bug:
Skype ha annunciato di star lavorando a una patch, finché non verrà rilasciata non sarà possibile installare l’applicazione per i device Apple.
Dropbox sbaglia un aggiornamento e lascia tutti gli account accessibili senza password per 4 ore
E’ domenica 19 giugno ore 1:54 PM PDT (fuso orario del pacifico… qui erano le 22:54) e il team di Dropbox decide di fare un aggiornamento della piattaforma.
Qualcosa va però storto e qualche ora più tardi Christopher Soghoian, un esperto in sicurezza, si accorge di un bug clamoroso, chiunque può accedere a qualunque account semplicemente immettendo l’indirizzo email dell’account e una password qualsiasi.
L’errore viene corretto alle 5:46 PM PDT, quindi tutti gli account di dropbox sono stati per 4 ore alla mercé di chiunque.
Le stime ufficiali dicono che meno dell’1% degli utenti si è loggato e ha subito potenziali violazioni dell’account ma ovviamente la bufera ha travolto il popolare servizio.
Soghoian ha depositato presso la Federal Trade Commission una richiesta di verifica nei confronti del portale
Dropbox si è affrettata a scusarsi e ha cercato di tranquillizzare tutti dicendo di essere al lavoro per esaminare tutti i log di accesso e contattare gli utenti in caso venissero riscontrati accessi sospetti, ha anche invitato gli utilizzatori a fare un controllo sul proprio account e, in caso si riscontrino anomalie, ad inviare una mail a atsecurity@dropbox.com.
A questo indirizzo trovate il post ufficiale sul blog di Dropbox.
Se volete stare tranquilli vi ricordo che esiste un programmino SecretSync di cui avevo parlato qui che crittografa i dati prima di inviarli a dropbox in modo che se anche qualcuno riuscisse ad entrare in futuro sul vostro account non riuscirebbe a visualizare i vostri dati.
