Facebook ha sicuramente raccolto un sacco di dati personali degli utenti, a partire dalle preferenze di ognuno fino ad arrivare alle preferenze politiche, ai gusti in fatto di cinema e ai log delle chiamate effettuate. A quanto pare, ci sarebbe un’altra pecca nel social network più famoso al mondo, che stando al report del ricercatore informatico Brian Krebs avrebbe raccolto e loggato, in locale, password degli utenti senza crittografia, quindi leggibili da estranei che abbiano accesso fisico al telefono. Secondo l’indiscrezione trapelata, il fatto risale al 2012 ed avrebbe coinvolto vari dipendenti di Facebook, che le avrebbero addirittura cercate per circa 20,000 volte – il tutto a partire dalla testimonianza di un impiegato senior che ha parlato con Krebs ed ha chiesto di restare anonimo. Si parla di milioni di utenti, da 200 a 600 milioni in tutto, le cui password venivano memorizzate in chiaro all’interno di un database ricercabile da parte dei dipendenti di Facebook (il link al report originale è qui).
Il responsabile della privacy e della sicurezza informatica Pedro Canahuati è corso ai ripari (Facebook ha pure pubblicato un comunicato ufficiale in cui conferma il problema, mostrando un’attenzione alla sicurezza informatica dei propri utenti quantomeno rivedibile) affermando che la scoperta è stata fatta durante un controllo periodico di routine, che ha rilevato l’anomalia e, ad oggi, dopo ben 7 anni, risolto il bug – con l’accortezza di notificare il problema e di far cambiare la propria password a tutti gli interessati, da quel che dicono (i quali, se hanno avuto questo problema, dovrebbero aver ricevuto una notifica da Facebook via email). Certo agli utenti conviene cambiare ugualmente la propria password, sia su Instagram che su Facebook, e soprattutto se si è fatto uso dell’app Facebook Lite.
Dall’esterno, se non altro, le password non erano visibili ne accessibili, ma resta il fatto che praticamente tutti i dipendenti di Facebook avevano la possibilità di vedere queste password in chiaro, in qualsiasi momento (e nessuno di loro ha segnalato il problema prima, cosa che quantomeno si segnala per la sua bizzaria). Secondo il responsabile, comunque, le password vengono salvate esclusivamente in forma criptata, dalla quale non è possibile risalire alla password in chiaro se non sfruttando una potenza computazionale non indifferente oppure un ipotetico database di reverse lookup (mappa di associazioni tra password criptate e versione in chiaro, in sostanza).
La versione incriminata sarebbe in particolare Facebook Lite, utilizzato soprattutto in paesi in cui la connettività non è al top come Brasile, Messico, India, Indonesia e Filippine, paesi in cui le connessioni sono tipicamente a velocità 2G e 3G con GSM al massimo. Lite utilizza un proxy server per ridurre la quantità di dati da usare ed il consumo di banda, ed è proprio questo il potenziale vettore di attacco che avrebbe salvato le password senza alcuna crittografia.
Per proteggere al meglio il proprio account Facebook o Instagram, è fortemente consigliato l’uso dell’autenticazione a due fattori che impedisce a chi non abbia fisicamente accesso allo smartphone che usiamo l’accesso non autorizzato al proprio account (Photo by Con Karampelas on Unsplash).
