Internet Bug Bounty, Facebook e Microsoft pagano per scoperta bug

Tre rivali Internet stanno collaborando per offrire premi o ricompense in denaro, ai ricercatori che trovano vulnerabilità critiche nella tecnologia Web ampiamente utilizzata. Il programma è sponsorizzato da Facebook e Microsoft, con l'assistenza di un esperto di sicurezza di Google, che ha contribuito a sviluppare il programma e siederà sul pannello che valuterà le osservazioni. Gli hacker potranno rimanere anonimi.

Scoperto bug che permetteva di cancellare qualsiasi foto da Facebook

Dopo il caso del ragazzo palestinese che qualche settimana fa aveva violato il profilo di Mark Zuckerberg, un altro bug, un errore del sistema, è stato scoperto da un altro giovane utente del social network. Si tratta di Arul Kumar, un ingegnere indiano di 21 anni che ha scoperto una vulnerabilità che permetteva di cancellare qualsiasi foto pubblicata su Facebook (sia di profili, pagine o gruppi). Questo grave problema è stato segnalato correttamente alla piattaforma che ha premiato il giovane hacker con ben 12.500 dollari.

Bacheca Facebook di Mark Zuckerberg hackerata per evidenziare bug

Un hacker ha scoperto una grave vulnerabilità nel codice di Facebook, ma il team di sicurezza ha ignorato troppo a lungo la criticità del problema. La scoperta riguardava la possibilità di bypassare le impostazioni sulla privacy di qualsiasi utente Facebook. ''Prima di tutto, scusa per aver rotto la tua privacy e aver postato sulla tua bacheca. Mi chiamo Khalil''. Inizia così il messaggio pubblicato da uno sviluppatore palestinese sulla Timeline di Mark Zuckerberg.

Non ci sarebbe nulla di male se Khalil Shreateh fosse nella cerchia di amici del fondatore di Facebook; invece Khalil è un hacker (blog) che ha individuato un problema tecnico, in conseguenza del quale chiunque avrebbe potuto scrivere sulla bacheca di un estraneo. Il ricercatore, che come immagine del profilo ha la foto di Edward Snowden, ha infatti scoperto l'esistenza di un modo per aggirare le impostazioni della privacy e permettere la pubblicazione di post anche sulle Timeline degli utenti che non sono nella propria cerchia di amici.

Visto che i suoi avvertimenti sono stati ignorati dal team della sicurezza del social network, Khalil ha scelto la "soluzione drastica" e pubblicato un post sul profilo privato del suo fondatore, "impresa" che gli è costata la sospensione del proprio account "per precauzione". Eppure il ricercatore aveva cercato in tutti i modi di comunicare il bug alla società di Menlo Park: ha prima contattato il team della sicurezza segnalando la vulnerabilità tramite una e-mail. 

Poi ha dimostrato l'esistenza del bug pubblicando con il suo account sulla bacheca di Sarah Goodin, ex compagna di college di Zuckerberg, e ha incluso un link al suo post nella successiva e-mail. Ma anche questa segnalazione è rimasta inascoltata. Uno dei componenti del team sicurezza di Facebook - identificato come Emrakul - ha risposto che non poteva vedere il post poiché non era amico di Sarah Goodin. E all'insistenza di Khalil avrebbe risposto: "Mi dispiace questo non è un bug".

A questo punto l'hacker palestinese non ha avuto scelta: "Ok - ha scritto al team - non mi rimane che postare direttamente sulla bacheca di Mark''. E così ha fatto. Ola Okelola, altro security engineer di Facebook, ha commentato il post chiedendo a Shreateh stavolta delucidazioni sul bug: tuttavia, il palestinese si è ritrovato col proprio account disattivato come "precauzione". Facebook non ha più commentato la vicenda ma il bug dovrebbe essere stato risolto.

Con una nota dolente per il suo scopritore: Khalil Shreateh infatti non sarà ricompensato, così come previsto da parte della società per chiunque trovi una falla del sistema, perché - secondo quanto fa sapere il social network (come si legge su Hacker News) - ha violato la cosiddetta "politica di divulgazione". Facebook ha un programma di taglie dove paga le persone per segnalare i bug invece di usarli o venderli sul mercato nero.

Fonte: Dailymail
Via: Adnkronos

Foto da video

Facebook ammette esposizione dati di 6 milioni di utenti da un anno

Facebook ha ammesso una importante violazione della sicurezza a causa di un "bug" che ha reso sei milioni dei suoi utenti vulnerabili, e ha iniziato l'invio di email informative a quegli utenti i cui indirizzi e-mail e numeri di telefono sono stati esposti. Dopo il bug nella messaggistica di Facebook, questa notizia potrebbe essere uno shock per gli utenti che si sono fidati delle impostazioni della privacy personalizzate del sito. 

Il sito di social networking ha rivelato recentemente che 9.000-10.000 dati degli utenti sono stati condivisi con le autorità statunitensi. Il data leaks è iniziato nel 2012, anche se il bug è stato sanato in 24 ore. Facebook è venuto a conoscenza del bug nella privacy attraverso il suo White Hat program. "Abbiamo concluso che circa 6 milioni di utenti di Facebook hanno in comune indirizzi e-mail o numeri di telefono", ha ammesso Facebook  Security venerdì. 

La violazione della sicurezza è accaduta per gli utenti che hanno utilizzato gli strumenti "Scarica le tue informazioni" (Download Your Information) e "Persone che potresti conoscere". Mentre, "Persone che potresti conoscere" suggerisce agli utenti di Facebook le persone che sia hanno la probabilità di conoscere, sulla base delle liste dei contatti, lavoro, Reti e le rubriche caricate da loro, lo strumento DYI aiuta a scaricare l'archivio della Timeline di Facebook.

Facebook ha introdotto questa caratteristica con il preciso intento di aiutare le persone a trovare i loro amici in modo rapido. Le persone vengono visualizzate in base agli amici in comune, alle informazioni relative a lavoro e istruzione, alle reti a cui si appartiene, ai contatti importati e a molti altri fattori. Come spiega Facebook, poiché la sua formula è automatica, potreste "occasionalmente visualizzare persone che non conoscete o delle quali non desiderate essere amico".

Facebook ha dichiarato nel suo post che il bug è stato risolto, ma gli utenti di Facebook stanno raccontando una storia diversa nei commenti. Un utente che ha commentato ieri pomeriggio, scrive: ".Ho appena scaricato il backup esteso e sto ancora visualizzando i messaggi di posta elettronica e numeri telefonici che non sono pubblici!!". Chi ha scaricato i dati delle informazioni della lista dei contatti, ha avuto accesso a informazioni che non erano pubbliche.

Fonte: ZD Net
Via: Reuters

Bug in messaggistica Facebook permetteva hack di qualsiasi account

Solo tre settimane dopo la divulgazione di un bug trovato su Facebook, l'esperto di sicurezza Web Nir Goldshlager ha detto di aver scoperto un altro difetto che gli ha permesso di violare la rete ancora una volta. In un post sul blog dal titolo "How I Hacked Any Facebook Account ... Again!" Goldshlager ha detto che era in grado di sfruttare un altro punto debole della rete.

"Anche se la vittima non ha mai permesso qualsiasi applicazione nel suo account di Facebook, ho potuto ottenere ancora le autorizzazioni complete sul suo account tramite Facebook Messenger app_id", ha scritto. Goldshlager ha detto a febbraio in un blog post di aver trovato un difetto "che mi ha permesso di prendere il pieno controllo di qualsiasi account di Facebook".

E' una buona cosa che uno sviluppatore web e online esperto di sicurezza Nir Goldschlager è dalla parte dei buoni. Facebook è stato in grado di risolvere entrambi i difetti immediatamente. Goldshlager ha ricevuto un premio da parte della società per la recente falla, così come per quella che ha trovato in precedenza. La dimensione del premio non è stata divulgata.

"Era un errore molto simile (con un modello fatto simile) e come si può vedere dal post siamo stati in grado di risolvere il problema quasi immediatamente", ha detto il portavoce di Facebook Frederic Wolens al sito MarketWatch. "Abbiamo fornito premi ad oltre 200 ricercatori, e il signor Goldschlager ha riportato a noi  diverse vulnerabilità in passato", ha aggiunto.

In una dichiarazione, Facebook ha anche detto: "Non abbiamo alcuna prova che gli utenti sono stati influenzati da questo bug. Abbiamo premiato il ricercatore per ringraziarlo del suo contributo alla sicurezza di Facebook". Facebook rivelato il mese scorso che la sua rete è stata violata dopo che alcuni laptop dei dipendenti sono stati infettati da un software dannoso.

Fonte: Nir Goldshalger
Via: MarketWatch

Test Users, account Facebook fittizi per provare App e individuare bug

Creare profili falsi su Facebook è vietato dalle policy del social network. Come leggiamo nei Termini di servizio: "gli utenti di Facebook forniscono il proprio nome e le proprie informazioni reali (...). Per quanto riguarda la registrazione e al fine di garantire la sicurezza del proprio account, l'utente si impegna a non fornire informazioni personali false su Facebook o creare un account per conto di un'altra persona senza autorizzazione; non creare più di un account personale (...)".

Scoperta falla per rubare identità Facebook e inviare messaggi

Un muratore spagnolo sostiene di aver scoperto una ''falla'' su Facebook che consente di rubare facilmente l'identità di un utente e mandare messaggi a suo nome. ''Ho scoperto questo difetto per caso'', ha dichiarato all'Afp Alfredo Arias, 37 anni, che si professa ''autodidatta al 100%'' di informatica, spiegando che a causa di una falla nel sistema di messaggistica di Facebook, una persona con competenze informatiche minime è in grado di inviare e-mail con altri account di Facebook.

''E' molto semplice, perchè basta sapere come creare una pagina Web'', ha detto, illustrando in dettaglio il processo utilizzato nel suo blog ''L'internauta di Leon''. Il muratore, specializzato in lavori difficili in altezza, ha scritto anche all'Istituto nazionale delle tecnologie e delle comunicazioni (Inteco), dipendente dal Ministero dell'Industria spagnolo, che a sua volta ha detto di aver riportato il caso al social network.

Facebook ha lanciato il Security Bug Bounty Program, attraverso il quale paga i ricercatori di sicurezza per la scoperta e la segnalazione privata di vulnerabilità nella sua piattaforma. Joe Sullivan, Chief Security Officer di Facebook, ha detto che i pagamenti indicano quanto siano qualificati i ricercatori indipendenti nell’indiviuare i bug e altri problemi di sicurezza. Ha affermato che l'azienda ha ricevuto buone notizie da persone in 16 diversi paesi.

Un cacciatore di taglie è stato pagato 7.000 dollari, ed un'unica segnalazione eccellente ha vinto un premio $5.000. Facebook è solo una delle tante aziende di tecnologia che desiderano sfruttare l’intelligenza degli hacker per i propri benefici. Apple ha recentemente assunto come stagista Nicola Allegra, uno studente del college ben noto per lo sviluppo di uno strumento per fare l’hack su iPhone hack.

Vie: ASCA | Bit Defender

Facebook a caccia di bug paga 40mila dollari agli hacker che li trovano

Ad un mese dal lancio del programma 'Bug Bounty' nell’ambito del quale degli hacker vengono pagati per identificare eventuali difetti nella piattaforma, Facebook ha reso noto di aver sborsato ricompense per oltre 40 mila dollari. Il responsabile della sicurezza di Facebook, Joe Sullivan, ha commentato entusiasta l'iniziativa che ha portato a un miglioramento di molte curve del loro codice di programmazione.

"Oggi sto scrivendo riguardo ad un recente miglioramento, il nostro programma bounty bug, che in breve tempo si è dimostrato prezioso al di là delle nostre aspettative. Assumiamo i migliori e più brillanti programmatori, e abbiamo attuato numerosi protocolli. Anche così, a volte il codice software contiene bug", scrive Sullivan in una nota sulla pagina di sicurezza di Facebook.

"Ci sono bug nel software a causa della complessità del software, - aggiunge Sullivan errori di programmazione, cambiamenti nei requisiti, errori commessi nella gestione dei bug, documentazione limitata o problemi di strumenti di sviluppo software". Per far fronte a questo, Facebook, ha assoldato un ampio numero di ‘esperti in sicurezza’ in oltre 16 Paesi, dalla Turchia alla Polonia, dando ad ognuno 500 dollari a Bug, con un compenso maggiore nel caso dell’identificazione di difetti estremamente compromettenti.

Un cacciatore di bug (bug hunter) è riuscito infatti a guadagnare oltre 7 mila dollari grazie alla segnalazione di ben sei falle diverse, mentre un altro ancora è stato pagato 5 mila dollari grazie ad una segnalazione particolarmente importante per il sito. Joe Sullivan ha avvertito però che ci sono anche molti furbi che inviano segnalazioni fasulle solo per cercare pubblicità.

Facebook lancia il Bug Bounty Program a cerca delle vulnerabilità

Facebook ha lanciato il Security Bug Bounty Program, attraverso il quale pagherà i ricercatori di sicurezza per la scoperta e la segnalazione privata di vulnerabilità nella sua piattaforma. Il piano che riguarda il programma di ricompensa per la sicurezza agli hacker whiteat era stato rivelato dal Chief Security Officer della società Joe Sullivan, alla conferenza dedicata alla sicurezza Hack in the Box ad Amsterdam.

Sembra che Facebook sia riuscito finalmente a risolvere i problemi legali che tale sforzo comporta e ha annunciato pubblicamente la disponibilità del programma. L'azienda offre 500 dollari in premi per i rapporti che vengono qualificati. Aderendo al programma è obbligatorio leggere un paragrafo delle policy di divulgazione responsabile:

"Se ci date un tempo ragionevole per rispondere alla vostra segnalazione prima di effettuare qualsiasi informazione pubblica e fate uno sforzo in buona fede al fine di evitare violazioni della privacy, la distruzione di dati e di interruzione o degrado del nostro servizio durante la ricerca, non porterà alcuna querela contro di voi o chiedere l'applicazione della legge per indagare voi". I tipi di vulnerabilità che si qualificano per i premi sono:

cross-site scripting (XSS), cross-site request forgery (CSRF/XSRF) e iniezione di codice remoto. Inoltre, l'exploit deve compromettere l'integrità e la riservatezza dei dati degli utenti di Facebook. Mentre una vincita tipica è di 500 dollari, la ricompensa può essere aumentata in casi particolari, anche se la società non specifica per questo alcun criterio. E' anche interessante notare che solo i residenti dei paesi che non sono sotto le sanzioni degli Stati Uniti possono qualificarsi.