www.MegaLab.it

Un cracker non ancora identificato è riuscito nei giorni scorsi ad inserire un messaggio su Facebook tramite la fan page di Mark Zuckerberg, ideatore del social network blu.

Il testo, rapidamente rimosso poco dopo, recitava (in inglese) quanto segue:

Iniziamo l'hacking: se Facebook ha bisogno di soldi, invece di rivolgersi alle banche, perché non consente agli utenti di investire su Facebook in un modo sociale? Perché non trasformare Facebook in un 'business sociale' nel modo descritto dal premio Nobel Muhammad Yunus? http://bit.ly/fs6rT3 Cosa ne pensi? #hackercup2011

Il messaggio è subito sembrato sospetto: il concetto di "business sociale" è infatti legato ad iniziative solidali, dato che agli investitori non è restituito alcun interesse sulla cifra versata. Facebook, al contrario, è partecipata da numerosi soggetti esplicitamente interessati alla profittabilità del servizio.

Il gruppo non ha commentato l'incidente in un primo momento, salvo poi confermare a Cnet che si è trattato di un accesso non autorizzato da parte di un anonimo alla pagina del CEO.

Stando a qaunto emerso, l'intruso è riuscito a sfruttare un bug in una delle API, guadagnandosi così il privilegio di inserire messaggi a nome del numero uno dell'azienda. L'assalitore, ha chiarito il direttore del reparto security, non è comunque riuscito a proseguire oltre o accedere ad altre informazioni private.

Al momento non è chiaro se l'incidente sia in qualche modo collegato a quello analogo, verificatosi ad inizio settimana, che ha visto il presidente francese annunciare un'improbabile ritiro anticipato dalla scena politica.

Sessioni crittografate per tutti

Parallelamente, Facebook ha annunciato una nuova funzionalità che interessa tutti gli utenti iscritti. Gli ingegneri del software hanno infatti esteso la possibilità di utilizzare una connessione protetta (protocollo "HTTPS") per sfogliare tutto il sito, e non più solo per inviare le credenziali di accesso.

Questa miglioria, ha spiegato il portavoce, garantisce che nessun soggetto terzo sia in grado di intercettare i dati in transito, compresi i messaggi immessi sulla propria bacheca o su quella dei propri amici o le varie pagine visualizzate.

Lo scotto da pagare è una maggiore lentezza nei caricamenti, motivo per cui la funzione non è ancora attivata di default su tutti i profili, ma solamente per coloro che attivino l'apposita opzione.

La novità, ha confermato Sophos, rende definitivamente inefficace i tool di cattura dei pacchetti come il già celebre FireSheep.

L'opzione per attivare HTTPS verrà resa disponibile in maniera progressiva e raggiungerà la totalità dei profili nelle prossime settimane. In un secondo momento, HTTPS sarà reso predefinito per tutti.

Anche l'autenticazione è social

Un'altra miglioria al sistema di sicurezza è quella che Facebook ha definito "autenticazione social". In caso il sistema rilevi un accesso sospetto al sito (uno in Italia ed uno, con lo stesso account, dall'altra parte del mondo poche ore più tardi) la piattaforma mostrerà una serie di foto prese dal profilo stesso, chiedendo all'utente di indicare il nome della persona raffigurata.

Lo strumento dovrebbe garantire un po' di sicurezza in più poiché, spiega il comunicato, "gli hacker dall'altra parte del mondo possono aver carpito la tua password, ma non sapere il nome dei tuoi amici".