Sta rimbalzando velocemente dentro e fuori la rete la notizia che un enorme archivio, contenente dati relativi a oltre 100 milioni di utenti registrati a Facebook, è stato messo a disposizione pubblicamente su Internet.
Alle spalle della manovra c'è il ricercatore Ron Bowes, fondatore del gruppo di consulenza informatica Skull Security (il sito è irraggiungibile al momento, presumibilmente a causa del forte traffico generato dalla notizia).
Bowes ha realizzato uno script che, setacciando a dovere l'enorme mole di dati offerti pubblicamente nella directory degli iscritti a Facebook, ha collezionato nomi, cognomi e URL del profilo di molti utenti che non avevano opportunamente regolato le impostazioni inerenti la privacy per essere esclusi dalla grande lista di registrati.
Il tutto è poi stato debitamente impacchettato in comodi file cercabili e reso disponibile via BitTorrent a tutti gli interessati. Lo stesso file è poi apparso anche su The Pirate Bay e copiato anche qui, ad uso degli utenti italiani a cui l'accesso a TPB è precluso.
Appare evidente che non è stata compiuta alcuna azione di cracking: le informazioni recuperate erano infatti già esposte al pubblico anche prima, sebbene in un formato nettamente meno comodo da gestire.
Il bagaglio di dettagli recuperati è già stato usato per estrapolare gli username più popolari: jsmith e ssmith sono ai primi posti, ma il cognome "Smith" sembra dominare buona parte della prime 10 posizioni della classifica.
"Michael", "John" e "David" sono invece i nomi di battesimo più diffusi.
Bowes ha spiegato anche che, una volta che l'interessato ha scoperto l'indirizzo del profilo di una determinata persona, è molto facile risalire ad altre informazioni personali generalmente mostrare a tutti i naviganti. Fra queste, vi sono l'immagine del profilo, la data di nascita, ed un campione di "amici".
Questi ultimi potrebbero essere così rintracciati indirettamente anche in caso non avessero accettato l'inclusione nella directory pubblica, ha sottolineato il consulente.
L'esperto ha ora intenzione di consegnare le informazioni raccolte agli sviluppatori del progetto Ncrack, un tool di attacco "a forza bruta" studiato per testare la sicurezza dei sistemi di log-in.
MegaLab.it rispetta la tua privacy. Per esercitare i tuoi diritti scrivi a: privacy@megalab.it .
Copyright 2008 MegaLab.it - Tutti i diritti sono riservati