Facebook, i link inviati su Messenger non sono così privati (e Facebook lo sa)

Se pensate che i link che inviate su Facebook Messenger possono essere visualizzati soltanto da voi e dal destinatario, dovete ricredervi. A scoprire l’insolito comportamento ci ha pensato il ricercatore Inti De Ceukelaire, che ha documentato tutto in un lungo e dettagliato post su Medium, denunciando tutto a Facebook solo per sentirsi dire che era tutto già noto e che non verranno presi provvedimenti.

De Ceukelaire ha scoperto che quando inviamo un link su Facebook Messenger, quel link viene analizzato dal crawler di Facebook, che estrapola il titolo, la descrizione e una immagine di anteprima - quelli che vengono visualizzati sotto al link condiviso, per intenderci - e assegna a quel link un numero identificativo unico, che resterà associato a quel link nel database di Facebook.

Fin qui non ci sarebbero problemi. La cosa sorprendente, però, è che chiunque, attraverso l’API di Facebook, la console per sviluppatori e col giusto comando, può richiamare e visualizzare i link usando quell’ID unico assegnato da Facebook al link. É vero, bisogna conoscere il numero assegnato da Facebook, ma è sufficiente fare una serie di tentativi per arrivare comunque a richiamare alcuni link condivisi in privato tra due o più utenti.

De Ceukelaire ha fatto prima una prova con la collaborazione di un suo amico, riuscendo a visualizzare correttamente dal proprio dispositivo un documento sensibile che il suo amico aveva condiviso su Facebook Messenger. De Ceukelaire, in quel caso, conosceva l’ID che Facebook aveva assegnato a quel link e l’esperimento è riuscito, ma una volta accertato questa possibilità è riuscito a richiamare altri link scambiati da sconosciuti, semplicemente inserendo dei numeri a caso che, dopo diverse prove, sono risultati davvero associati ad alcuni link archiviati da Facebook.

Da lì è stato sufficiente creare uno script incaricato di fare in automatico questo processo usando numeri a caso per aprire il vaso di Pandora: De Ceukelaire è riuscito ad accedere a decine di link scambiati su Facebook. Tra questi c’erano anche dei dati sensibili e, in alcuni casi, anche informazioni utili per risalire all’account dell’utente che aveva condiviso quel link. Questo significa che, nelle mani di malintenzionati, questo sistema potrebbe rivelarsi molto dannoso.

E, se la situazione non fosse già grave, vi basti sapere che questo sistema non vale soltanto per i link condivisi su Facebook Messenger, ma anche per quelli inviati nei gruppi privati o quelli inseriti negli aggiornamenti di stato. Di fatto, tutti i link che passano per Facebook vengono indicizzati in questo modo dal social network e catalogati con degli ID unici.

Quello che più sconvolge, però, è che per Facebook si tratta di un comportamento assolutamente noto e previsto. Forse, fino ad oggi, in casa Facebook non avevano ipotizzato che qualcuno si sarebbe messo a fare una ricerca del genere e iniziare ad accedere ai file privati degli utenti, ma ora che la cosa è diventata di dominio pubblico non potrà non correre ai ripari.

É bene sottolineare che per fare quello che ha fatto De Ceukelaire è necessario essere registrati come sviluppatori sulla piattaforma di Facebook e che i sistemi di sicurezza messi in atto puntano a limitare e bloccare i comportamenti giudicati sospetti, quindi il rischio, seppur presente, dovrebbe essere ridotto al minimo.

Via | Medium

© Foto Getty Images - Tutti i diritti riservati

  • shares
  • Mail