Una ricerca sulla sicurezza svolta da due studenti, Rui Wang e Zhou Li, ha permesso di scoprire una vulnerabilità di Facebook che consente a siti web creati ad hoc di accedere ai dati personali pubblicati sul profilo senza permesso dell’utente.
Il sito web maligno potrebbe essere una copia fedele di un sito al quale l’utente ha concesso l’autorizzazione per accedere ai dati privati come nome, sesso e data di nascita.
I ricercatori hanno inoltre trovato un modo per pubblicare contenuti sulla bacheca dell’utente, dimostrando come sia possibile diffondere malware o effettuare un attacco di phishing.
Mediante un sito di test e un finto account su Facebook, i due studenti sono riusciti a visualizzare il nome, la data di nascita e l’indirizzo email dell’utente, dopo aver installato l’applicazione Facebook di ESPN.
Con l’autorizzazione concessa all’applicazione, un malintenzionato, utilizzando il finto sito web, può quindi pubblicare un messaggio sulla bacheca contenente, ad esempio, il link ad un altro sito creato per rubare l’identità mediante phishing.
Fortunatamente i due ricercatori hanno subito contattato il team di Facebook per segnalare la vulnerabilità, che dovrebbe essere risolta in tempi brevi. Come sempre, il consiglio è quello di ridurre al minimo i dati sensibili pubblicati sul social network e modificare le impostazioni della privacy in modo da condividere meno informazioni possibili.