Vai al contenuto

L’app di Facebook Lite salvava le password degli utenti in chiaro. Dal 2012

con karampelas 1178814 unsplash

Facebook ha sicuramente raccolto un sacco di dati personali degli utenti, a partire dalle preferenze di ognuno fino ad arrivare alle preferenze politiche, ai gusti in fatto di cinema e ai log delle chiamate effettuate. A quanto pare, ci sarebbe un’altra pecca nel social network più famoso al mondo, che stando al report del ricercatore informatico Brian Krebs avrebbe raccolto e loggato, in locale, password degli utenti senza crittografia, quindi leggibili da estranei che abbiano accesso fisico al telefono. Secondo l’indiscrezione trapelata, il fatto risale al 2012 ed avrebbe coinvolto vari dipendenti di Facebook, che le avrebbero addirittura cercate per circa 20,000 volte – il tutto a partire dalla testimonianza di un impiegato senior che ha parlato con Krebs ed ha chiesto di restare anonimo. Si parla di milioni di utenti, da 200 a 600 milioni in tutto, le cui password venivano memorizzate in chiaro all’interno di un database ricercabile da parte dei dipendenti di Facebook (il link al report originale è qui).

Il responsabile della privacy e della sicurezza informatica Pedro Canahuati è corso ai ripari (Facebook ha pure pubblicato un comunicato ufficiale in cui conferma il problema, mostrando un’attenzione alla sicurezza informatica dei propri utenti quantomeno rivedibile) affermando che la scoperta è stata fatta durante un controllo periodico di routine, che ha rilevato l’anomalia e, ad oggi, dopo ben 7 anni, risolto il bug – con l’accortezza di notificare il problema e di far cambiare la propria password a tutti gli interessati, da quel che dicono (i quali, se hanno avuto questo problema, dovrebbero aver ricevuto una notifica da Facebook via email). Certo agli utenti conviene cambiare ugualmente la propria password, sia su Instagram che su Facebook, e soprattutto se si è fatto uso dell’app Facebook Lite.

Dall’esterno, se non altro, le password non erano visibili ne accessibili, ma resta il fatto che praticamente tutti i dipendenti di Facebook avevano la possibilità  di vedere queste password in chiaro, in qualsiasi momento (e nessuno di loro ha segnalato il problema prima, cosa che quantomeno si segnala per la sua bizzaria). Secondo il responsabile, comunque, le password vengono salvate esclusivamente in forma criptata, dalla quale non è possibile risalire alla password in chiaro se non sfruttando una potenza computazionale non indifferente oppure un ipotetico database di reverse lookup (mappa di associazioni tra password criptate e versione in chiaro, in sostanza).

Ti potrebbe interessare:  Senza internet, nel 2023

La versione incriminata sarebbe in particolare Facebook Lite, utilizzato soprattutto in paesi in cui la connettività  non è al top come Brasile, Messico, India, Indonesia e Filippine, paesi in cui le connessioni sono tipicamente a velocità  2G e 3G con GSM al massimo. Lite utilizza un proxy server per ridurre la quantità  di dati da usare ed il consumo di banda, ed è proprio questo il potenziale vettore di attacco che avrebbe salvato le password senza alcuna crittografia.

Per proteggere al meglio il proprio account Facebook o Instagram, è fortemente consigliato l’uso dell’autenticazione a due fattori che impedisce a chi non abbia fisicamente accesso allo smartphone che usiamo l’accesso non autorizzato al proprio account (Photo by Con Karampelas on Unsplash).



Questo blog pubblica contenuti ed offre servizi free da 12 anni. – Leggi un altro articolo a caso – Per informazioni contattaci
Non ha ancora votato nessuno.

Ti sembra utile o interessante? Vota e fammelo sapere.

cyberpunk 12

Ingegnere informatico per passione, consulente per necessità, docente di informatica; ho creato Trovalost.it e ho scritto quasi tutti i suoi contenuti. Credits immagini: pexels.com, pixabay.com, wikipedia.org, Midjourney, StarryAI, se non diversamente specificato. Questo sito non contiene necessariamente suggerimenti, pareri o endorsement da parte del proprietario del progetto e/o espressi a titolo personale. Per contatti clicca qui


Segui il canale Youtube @Tecnocrazia23