Bene, non sembra essere bastata l’assunzione di uno degli hacker più in famosi del momento ( GeoHot ), che Zio Mark ne ha combinata un’altra. Facebook è affetto da una falla di sicurezza nelle email. Questo bug oltre a dare lavoro ai nostri amatissimi spammer, potrebbe farvi credere che un chiunque personaggio presente in facebook possa inviarvi un messaggio privato, un vostro amico, un conoscente, un vostro parente, e chiedervi qualsiasi cosa.

Vediamo nel dettaglio.

Quello che ci interessa sapere per questo POC sono l’email da utilizzare come mittente e l’username del destinatario, quindi andate sul profilo di un vostro amico cliccare poi su nel pannello Info ed in fondo alla pagina vedete se l’email è presente. Ora che abbiamo l’email con cui inviare il messaggio bisogna scegliere un qualsiasi destinatario che abbia abilitato l’username identificativa unica di Facebook, per verificarlo basta andare a visitare la pagina di un vostro amico se ha usato l’username identificativo unico apparira in url questa tipologia di link:

http://www.facebook.com/marco.rossi

dove marco.rossi è l’username/id usato ( può essere anche marcorossi o rossimarco o qualsiasi altro nome ). Facebook a questo punto avrà abilitato la seguente email [email protected]

Adesso i più geek, avranno tutto già chiaro.

Per quelli che ancora non hanno capito, basta utilizzare un mailer  anonimo su internet.

1. mail from: (email dell’amico su facebook)

2. mail to: [email protected]

3. ….tutto il resto si basa sulla vostra fantasia.

Con questo però vorrei precisare che qualsiasi azione voi facciate, sopratutto se illegale è punibile dalla legge. Non mi assumo la resposabilità delle vostre azioni.

Siate furbi. No fuorilegge.

 

UPDATE: Facebook ha incluso per il momento un’icona di avviso nel messaggio come mittente non verificato. Si vede che ci stanno lavorando.