Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
Red Hot Cyber Academy

Scoperto un token Facebook con capacità “God Mode”. Facebook dichiara che è una funzionalità.

Redazione RHC : 13 Febbraio 2022 09:58

Brave questa settimana ha affermato che sta bloccando l’installazione di una popolare estensione di Chrome chiamata LOC perché espone i dati di Facebook degli utenti a potenziali furti.

“Se un utente ha già effettuato l’accesso a Facebook, l’installazione di questa estensione garantirà automaticamente a un server di terze parti l’accesso ad alcuni dati di Facebook dell’utente”

Iscriviti GRATIS alla RHC Conference 2025 (Venerdì 9 maggio 2025)

Il giorno Venerdì 9 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la RHC Conference 2025. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.

La giornata inizierà alle 9:30 (con accoglienza dalle 9:00) e sarà interamente dedicata alla RHC Conference, un evento di spicco nel campo della sicurezza informatica. Il programma prevede un panel con ospiti istituzionali che si terrà all’inizio della conferenza. Successivamente, numerosi interventi di esperti nazionali nel campo della sicurezza informatica si susseguiranno sul palco fino alle ore 19:00 circa, quando termineranno le sessioni. Prima del termine della conferenza, ci sarà la premiazione dei vincitori della Capture The Flag prevista per le ore 18:00.
Potete iscrivervi gratuitamente all'evento utilizzando questo link.

Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

ha spiegato Francois Marier, un ingegnere della sicurezza di Brave, in un post su GitHub Issue.

“L’API utilizzata dall’estensione non fa sì che Facebook mostri una richiesta di autorizzazione all’utente prima che venga emesso il token di accesso dell’applicazione”.

Tuttavia, lo sviluppatore dell’estensione, Loc Mai, ha dichiarato a The Register che la sua estensione non sta raccogliendo informazioni, come afferma la politica sulla privacy dell’estensione. L’estensione conta attualmente circa 700.000 utenti.

“L’estensione non raccoglie i dati dell’utente a meno che l’utente non diventi un utente Premium e l’unica cosa che raccoglie è l’UID, che è unico per ogni persona”

ha spiegato Mai.

Mai ha detto che l’estensione memorizza il token localmente, sotto localStorage.touch. Ciò rappresenta un rischio per la sicurezza ma non è indicativo di illeciti. LOC continua a essere disponibile tramite il Chrome Web Store.

Tuttavia, uno sviluppatore malintenzionato potrebbe raccogliere i dati di Facebook utilizzando lo stesso metodo di accesso, perché Facebook sta esponendo un token in formato testo normale che garantisce ciò che il ricercatore di sicurezza Zach Edwards descrive come “God mode”.

Per ottenere quel token, in modo che gli utenti dell’estensione possano automatizzare l’elaborazione dei propri dati di Facebook, come scaricare i propri messaggi, l’estensione invia una richiesta GET a Creator Studio per Facebook. La richiesta restituisce un token di accesso all’interno per l’utente Facebook che ha effettuato l’accesso, consentendo ulteriori interazioni programmatiche con i dati di Facebook.

Mai ha elaborato questo in risposta al post su GitHub di Brave.

“Il token di accesso è all’interno dell’HTML di quella pagina. Qualsiasi utente di Facebook può semplicemente andare su view-source:https://business.facebook.com/creatorstudio/homee visualizzare il token di accesso la dentro.”

Edwards ha dichiarato a The Register

“Facebook ha affrontato uno scandalo quasi identico nel 2018, quando 50 milioni di account Facebook sono stati cancellati a causa di un’esposizione simbolica”.

Eppure Facebook sembra considerare questo token di erogazione di dati come una funzionalità, non un bug.

Mai ha fornito a The Register una copia dell’e-mail del 9 aprile 2019 che ha utilizzato per segnalare un problema di divulgazione di token su un endpoint diverso che ha consentito lo stesso tipo di accesso ai dati. La risposta da parte della sicurezza di Facebook è stata:

“In questo caso, il problema che hai descritto è in realtà solo una funzionalità e quindi non si qualifica per una taglia”.

“Facebook sembra non aver imparato la lezione dal 2018 e sta ancora esponendo un token in testo normale per ogni utente, su una pagina di nicchia che gli sviluppatori specifici conoscono”

ha affermato Edwards.

“Facebook chiama questa come funzionalità, ma quando il primo sviluppatore di estensioni raccoglie e ruba dati da innumerevoli pagine e utenti, sarà allora che Facebook ammetterà finalmente che si tratta di un bug proprio come i problemi del 2018?”

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Op_Italy: un attacco DDoS di Mr Hamza è stato sferrato contro il Ministero Della Difesa italiana

Sabato 3 maggio, un post pubblicato su un canale Telegram legato al gruppo “Mr Hamza” ha rivendicato un cyberattacco ai danni del Ministero della Difesa italiano. Il messaggio, scritto i...

Hai cambiato la password? Tranquillo, RDP se ne frega! La Scoperta Shock su Windows

Microsoft ha confermato che il protocollo RDP (Remote Desktop Protocol) consente l’accesso ai sistemi Windows anche utilizzando password già modificate o revocate. L’azienda ha chia...

Attenti italiani! Una Finta Multa da pagare tramite PagoPA vuole svuotarti il conto

Una nuova campagna di phishing sta circolando in queste ore con un obiettivo ben preciso: spaventare le vittime con la minaccia di una multa stradale imminente e gonfiata, apparentemente proveniente d...

Italia sarai pronta al Blackout Digitale? Dopo La Spagna l’attacco informatico alla NS Power

Negli ultimi giorni, NS Power, una delle principali aziende elettriche canadesi, ha confermato di essere stata vittima di un attacco informatico e ha pubblicato degli update all’interno della H...

Sicurezza è Lavoro: dal cantiere al cloud, dobbiamo proteggere chi costruisce l’Italia!

1° Maggio, un giorno per onorare chi lavora, chi lotta per farlo in modo dignitoso e chi, troppo spesso, perde la vita mentre svolge la propria mansione. Nel 2025, l’Italia continua a pian...