Connect with us

News

Vulnerabilità Facebook: Come Hackerare un account

Avatar

Pubblicato

il

Un ricercatore di sicurezza ha rivelato una vulnerabilità critica di cross-site request forgery (CSRF) nella piattaforma di social media più popolare che avrebbe potuto consentire agli aggressori di dirottare gli account di Facebook semplicemente ingannando gli utenti mirati a fare clic su un collegamento.

Il ricercatore, che fa riferimento all’alias online “Samm0uda”, ha scoperto la vulnerabilità dopo aver individuato un endpoint difettoso (facebook.com/comet/dialog_DONOTUSE/) che avrebbe potuto essere sfruttato per aggirare le protezioni CSRF e l’account della vittima di acquisizione.

“Questo è possibile a causa di un endpoint vulnerabile che prende un altro endpoint di Facebook selezionato dall’attaccante insieme ai parametri e fa una richiesta POST a quell’endpoint dopo aver aggiunto il parametro fb_dtsg”, dice il ricercatore sul suo blog .

“Anche questo endpoint si trova sotto il dominio principale www.facebook.com che rende più facile per l’aggressore ingannare le sue vittime a visitare l’URL.”

Assumere il pieno controllo deil’account delle vittime o ingannarli nell’eliminare il loro intero profilo Facebook richiede qualche sforzo in più da parte dell’attaccante, poiché le vittime devono inserire la loro password prima che l’account venga eliminato.

Per fare questo, il ricercatore ha detto che avrebbe richiesto alle vittime di visitare due URL separati, uno per aggiungere l’e-mail o il numero di telefono e uno per confermarlo.

È “perché gli endpoint ” normali “utilizzati per aggiungere e-mail o numeri di telefono non hanno un parametro ” successivo “per reindirizzare l’utente dopo una richiesta riuscita”, afferma il ricercatore.

Samm0uda ha segnalato la vulnerabilità con i dettagli del suo exploit su Facebook il 26 gennaio. Il gigante dei social media ha riconosciuto il problema e lo ha corretto il 31 gennaio, ricompensando il ricercatore con $ 25.000 come parte del programma di bug Facebook.

Facebook Comment

News

McDonald’s: Violazione dei dati personali in 3 Paesi

Redazione

Pubblicato

il

Mc Donald’s ha confermato una violazione dati in 3 Paesi differenti ,negli Stati Uniti, nella Corea del Sud e a Taiwan.

La società ha scoperto la violazione dei dati dopo aver assunto consulenti per “indagare su attività non autorizzate su un sistema di sicurezza interno”, ha riferito il Wall Street Journal,. Negli Stati Uniti, la violazione ha rivelato alcune informazioni di contatto aziendali per dipendenti e affiliati, insieme ad alcune informazioni sui ristoranti.

Gli hacker sono riusciti a violare e-mail, numeri di telefono e indirizzi dei clienti della Corea del Sud e Taiwan. A Taiwan, gli hacker hanno anche rubato informazioni sui dipendenti, inclusi nomi e informazioni di contatto.

McDonald’s ha dichiarato venerdì che le sue operazioni commerciali non sono state interrotte dalla violazione dei dati e “nei prossimi giorni, alcuni mercati aggiuntivi prenderanno provvedimenti per affrontare i file che contenevano dati personali dei dipendenti”.

Continua a Leggere

News

Microsoft Windows 11 nuovi indizi sul prossimo sistema operativo

Redazione

Pubblicato

il

Microsoft si prepara ad annunciare il più grande aggiornamento di Windows dal debutto di Windows 10 nel 2015. Anche se la società non ha rivelato ufficialmente nulla su questo aggiornamento, tutti i segnali indicano che offre un’esperienza significativamente diversa. In effetti, l’aggiornamento dovrebbe essere così radicale che potrebbe portare a un nuovo numero di versione, Windows 11.

Sebbene Microsoft non abbia confermato il cambio di nome, lo ha fortemente suggerito, sia nell’artwork per la sua stampa del 24 giugno. evento e nel suo orario di inizio 11 am. (ora locale USA)

Un teaser più intenzionale per la prossima generazione di Windows è arrivato il 10 giugno quando Microsoft ha pubblicato un video “slo-fi remix” dei suoni di avvio del sistema operativo.

Continua a Leggere

News

Google: Quattro bug di Android sono sotto attacco

Redazione

Pubblicato

il

Tre settimane dopo che Google ha rilasciato l’aggiornamento di sicurezza Android del maggio 2021, il team di Google Project Zero ha rivelato che quattro delle vulnerabilità patchate erano già sotto attacco. 

“Ci sono indicazioni che CVE-2021-1905, CVE-2021-1906, CVE-2021-28663 e CVE-2021-28664 potrebbero essere oggetto di sfruttamento mirato e limitato”, ha affermato Google in una nota nel suo bollettino di maggio 2021, che è stato pubblicato il 1 maggio .  

Continua a Leggere

News

Nasce l’Agenzia per la cybersicurezza nazionale

Redazione

Pubblicato

il

Il Consiglio dei Ministri ha approvato un decreto legge che istituisce l’Agenzia per la cybersicurezza nazionale (ACN), che avrà il compito di proteggere le funzioni essenziali dello stato italiano da minacce informatiche e di sviluppare le capacità per prevenirle e combatterle.

L’agenzia opererà sotto la responsabilità del Presidente del Consiglio dei ministri e dell’Autorità delegata per la sicurezza della Repubblica e avrà le funzioni di Autorità nazionale in materia di cybersicurezza inizialmente con 300 dipendenti, che potrebbero diventare 800 nei prossimi anni.

Il governo non ha ancora ufficializzato chi sarà a capo dell’agenzia, ma diversi giornali scrivono che la carica dovrebbe essere affidata a Roberto Baldoni, ordinario di Sistemi distribuiti alla Facoltà di Ingegneria dell’Informazione della Sapienza e vice direttore del DIS (Dipartimento delle informazioni per la sicurezza), con delega alla cybersicurezza.

fonte: ilpost.it

Continua a Leggere

News

EA colpita da un attacco hacker, in vendita il codice sorgente di Fifa 21

Redazione

Pubblicato

il

Il produttore di giochi Electronic Arts e il dipartimento di polizia di Presque Isle nel Maine stanno indagando  su un evento che entrambi temevano: il furto di gigabyte di dati privati ​​da parte di hacker che hanno violato i loro sistemi.

Nel caso di EA, il furto include 780 GB di codice sorgente e strumenti per FIFA 21, secondo un post pubblicato all’inizio di questa settimana su un forum dedicato. L’utente che ha pubblicato il post, con il nome utente Leakbook, ha messo in vendita i dati.

In un comunucato EA precisa: Stiamo indagando su un recente incidente di intrusione nella nostra rete in cui è stata rubata una quantità limitata di codice sorgente del gioco e strumenti correlati. Non è stato effettuato l’accesso ai dati dei giocatori e non abbiamo motivo di credere che ci siano rischi per la privacy dei giocatori. A seguito dell’incidente, abbiamo già apportato miglioramenti alla sicurezza e non ci aspettiamo un impatto sui nostri giochi o sulla nostra attività. Stiamo lavorando attivamente con le forze dell’ordine e altri esperti nell’ambito di questa indagine penale in corso.

 

Continua a Leggere

In Edicola


253 – Dal 20 Maggio 2021!

Forum

Facebook

Trending

IN EDICOLA