A quando la carta d’identità?

Facebook non ha nessun rappresentate ufficiale in Italia: l’unica sede in Europa è quella di Londra. Nessun problema fin quando non viene bloccato il proprio  l’account. Qualcuno ne sa qualcosa.

Senza dover andare troppo indietro, FBHive all’inizio di Giugno ha segnalato un bug che permetteva l’accesso incondizionato alle informazioni personali di qualsiasi account presente sul social netowork. La segnalazione  a Facebook è stata fatto il 7 Giugno e solo dopo il 23 Giugno, quando FBHive ha pubblicato un post,  il bug è stato preso sul serio e corretto nell’arco di qualche ora. Senza dover entrare troppo nel tecnico il bug permetteva, tramite la modifica a piacimento del parametro “userid”, inviato dalla pagina che gestisce le modifiche al proprio profilo personale, la visualizzazione delle informazioni personali dell’account avente l’userid specificato.

L’ultima moda di Facebook sono state le vanity url, ovvero la possibilità di legare (in maniera indissolubile) una URL breve al proprioprofilo. Una mossa, forse avventata, fatta per portarsi alla pari di altri tutti i social network concorrenti. Il cybersquatting era inevitabile e così è stato. Per correre ai ripari hanno attivato un metodo di verifica:

Prima di impostare il tuo nome utente, devi verificare il tuo account.

Prossimamente verrà chiesta la carta d’identità per poter usare un social network?

La privacy è sempre un concetto astratto, che nei prossimi anni si dovrà delineare. Questo concetto si evolverà con l’evolvere dei cittadini digitali che sempre più faranno coincidere la propria identità reale con quella virtuale.

Per ora manca la consapevolezza del Web: Internet ha memoria ed è sempre disponibile.
Facebook, come altri social network, è già la nostra carta d’identità on-line:  dati anagrafici, relazioni interpersonali, tendenze (politiche, sessuali,ecc..), ecc.

Si possono utilizzare tutti i social netowrk che si vuole, ma è necessario avere ben chiaro quale sarà il bacino di utenti che usufruirà delle nostre informazioni. A tal proposito consiglio la lettura della guida alla configurazione dei parametri sulla privacy previsti da Facebook e la policy scritta da Giovy.

 

Month of Twitter bug

Twitter Luglio sarà il mese dei bug legati  a tutti i servizi che utilizzano le  API di Twitter: Month of Twitter Bug (MoTB per gli amici) appunto.
Ieri sono stati pubblicati diversi XSS riguardanti il servizio bit.ly utilizzato per rendere più brevi le URL. La pericolosità degli XSS sta nel fatto che nell’account di bit.ly si possono inserire i profili di Twitter in modo da postare gli aggiornamenti direttamente da quel servizio. In questo modo un XSS può permettere all’attaccante di aggiornare l’account di Twitter della vittima senza che questa se ne accorga.

Per ora non sono state ancora pubblicate i dettagli del secondo servizio coinvolto a causa del fuso orario.
Per oggi 2 Luglio è statopublicato un XSS sul servizio HootSuite che permette la gestione di più account Twitter. Leggendo i commenti del post però sembra che ci siano altri XSS sul servizio oltre a quello segnalato dal MoTB.

L’idea è venuta ad Aviv Raff, già coinvolto nel Month Of Browser Bug creato da H.D. Moore, per mettere in luce quanto sia importante la cura della sicurezza dei servizi terzi che utilizzano le API di Twitter. Non ci vorrebbe molto a scrivere un worm che, sfruttando tutte queste vulnerabilità, impatti su un gran numero di utenti di Twitter.

Sarà sicuramente interessante leggere tutte le vulnerabilità che verranno pubblicate durante il mese.