Facebook, username & information leakage

Oggi ho scoperto per puro caso un comportamento di facebook che non mi piace per niente.

Come probabilmente avrete notato è possibile effettuare il login a facebook specificando indifferentemente username registrato o mail o, addirittura, numero di telefono (se associato all’account).

Distrattamente, ho provato a fare login specificando lo username incompleto: il risultato?

L’utente NON corretto.

Nome utente non corretto (clicca per ingrandire)

E’ un messaggio ben preciso. Invece del messaggio “utente o password errati“.

Di fatto, in questo modo, il sistema di login di facebook è nativamente un tool di discovery dello username.

Infatti, se lo username esiste e la password è sbagliata viene fuori un messaggio decisamente diverso.

Qui ho provato a loggarmi specificando lo username di Catepol in modalità cavia:

Password non corretta (clicca per ingrandire)

Oltre a sapere che la password di Catepol non è *passworddicatepol*  ;-P abbiamo scoperto che:

  1. lo username catepol è esistente
  2. è associato al profilo di Caterina Policaro
  3. Caterina Policaro ha quella foto come foto del profilo.

 

E non è poco visto che sono informazioni che poteva tranquillamente evitare di fornire.

Se tutto ciò non bastasse, il sistema di autenticazione di facebook prevede la possibilità di utilizzare come username il numero di telefono se associato.

Bene. Anzi, male.

Male perchè lo stesso identico meccanismo regola il logon con numero di telefono.

Vuoi sapere se il numero di telefono xyz è associato a qualche username?

Ecco di seguito i comportamenti specificando rispettivamente un numero di telefono associato ed uno no:

Login a facebook specificando numero di telefono esistente

 

Login a facebook specificando numero di telefono inesistente

 

Spero che cambino presto questo modello di autenticazione perchè è un po’ troppo “social” per i miei gusti.

P.S.: Per chi non lo sapesse, cliccando su “modifica amici” si può accedere alla funzione “rubrica telefonica” che mostra tutti i numeri telefonici associati e resi disponibili dai vostri contatti

3 thoughts on “Facebook, username & information leakage

    1. Ho provato con il mio e si comportava allo stesso modo. Per sicurezza ho provato con uno username con il quale non mi autentico solitamente (per evitare coinvolgimento di cache, cookie, etc). Dai che sei contenta 😉

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.