Pubblicando una semplice nota su Facebook sarebbe possibile utilizzare i server del social network per intasare quelli di altri siti, ma gli esperti di sicurezza di Zuckerberg non hanno intenzione di correggere il problema. A sostenerlo è Chaman Thapa, un ricercatore canadese indipendente che nel suo blog spiega nei dettagli il funzionamento della vulnerabilità e riporta lo scambio di email intercorso con i tecnici del social. La falla individuata da Thapa permetterebbe, in pratica, di trasformare i server di Facebook in un vero arsenale a disposizione di qualsiasi hacker che volesse sferrare un attacco DDoS (Distributed Denial of Service) contro un altro sito web. Atti di questo tipo, ampiamente utilizzati anche dagli attivisti di Anonymous per “abbattere” siti web come forma di protesta, puntano a “ingolfare” i server attraverso un gran numero di collegamenti Internet, bloccandone di fatto l’attività.

Il fulcro del problema riguarda l’incorporamento di immagini prese da altri siti all’interno delle note pubblicate su Facebook. Normalmente il social network usa un sistema che impedisce di inondare di richieste il server su cui è pubblicata l’immagine, creandone una copia che viene memorizzata sui server di Facebook e viene usata ogni volta che un utente visualizza la nota in questione. Il programmatore canadese, però, ha scoperto che è possibile ingannare il sistema inserendo dei collegamenti dinamici all’immagine e facendo così in modo che questa venga scaricata dal server originale anche mille volte per ogni visualizzazione della nota. In questo modo, basterebbe che cento computer ne visualizzassero una contemporaneamente per fare in modo che il server in questione venisse subissato di richieste dai server di Facebook.

Visto che l’efficacia degli attacchi DDoS aumenta proporzionalmente alla quantità di dati richiesti, l’effetto sarebbe ancora più devastante se il collegamento, invece che a un’immagine, facesse riferimento a un file di grandi dimensioni, come un video. Nel corso dei test condotti usando come “bersaglio” il suo stesso sito web e utilizzando solo tre computer, Chaman Thapa ha registrato il traffico in uscita rilevando che l’attacco aveva saturato il collegamento Internet del server che stava usando. Il documento usato come “esca” in questo caso era un file in formato Pdf di 13 Mega che, secondo i dati riportati dal ricercatore, i server di Facebook avrebbero cercato di scaricare ben 180mila volte in un breve lasso di tempo.

Tutti dati che Thapa ha incluso nel botta e risposta con i responsabili del Bug Bounty Program, la sezione di Facebook che si occupa di analizzare le vulnerabilità che vengono segnalate dai ricercatori indipendenti. Secondo quanto riportato dallo stesso Thapa, però, Facebook avrebbe escluso qualsiasi azione per correggere la falla sostenendo che non è possibile alcun intervento senza “causare un deterioramento del servizio complessivo”. Un diniego al quale si aggiunge la beffa: nell’email di risposta riportata sul blog gli esperti di Facebook comunicano al ricercatore che “sfortunatamente il Bug Bounty Program non prevede alcuna ricompensa per l’individuazione di vulnerabilità non correggibili”.