Ennesima tegola su Facebook per la gestione della privacy. Il social network ha ammesso di aver conservato le password di milioni di utenti senza protezione né crittografia, in un formato che tutti i dipendenti potevano leggere. Facebook ha dichiarato di aver scoperto la falla in un controllo di routine a gennaio.
Tuttavia il problema è riuscito a passare indenne decine di altre verifiche in passato, visto che il vicepresidente a ingegneria, sicurezza e privacy di Menlo Park, Pedro Canahuati, ha scritto che erano accessibili le password di “centinaia di milioni di utenti di Facebook Lite (una versione adoperata in zone con poca connessione, ndr), decine di milioni di altri utenti di Facebook e decine di migliaia di iscritti a Instagram”. Le password non oscurate sono state leggibili per anni. Anziché essere conservate in forma criptata, per la precisione con una tecnica di hash, erano appuntate su file di testo accessibili ai dipendenti della compagnia.
Brian Krebs, il giornalista che per primo ha dato la notizia, confermata a stretto giro dalla stessa Facebook, cita fonti interne che riferiscono il problema delle password non crittografate riguarda tra 200 milioni e 600 milioni di utenti. E che queste erano accessibili a 20mila dipendenti. Stando ai risultati dell’indagine interna, almeno duemila tra sviluppatori e ingegneri avrebbero avuto accesso almeno nove milioni a schede contenenti le password in chiaro.
Facebook sta avvertendo gli utenti perché modifichino la chiave di accesso. La società ha dichiarato di aver risolto il problema e che ha prove per cui nessuna password è stata spiata all’esterno, né rubata dagli stessi dipendenti. Così come, però, non ci sono prove del contrario. Le parole si scontrano con la cattiva nomea che insegue l’azienda quando si affronta il tema privacy.
Il nodo irrisolto della privacy
Proprio il fondatore Mark Zuckerberg, il 7 marzo, ha pubblicato un lungo post per annunciare il nuovo corso dell’azienda nella protezione dei dati personali. Un futuro basato su conversazioni private e piccoli gruppi, al posto della condivisione in pubblica piazza, e di crittografia end-to-end estesa a Messenger e Instagram, perché nessuno, al di fuori di mittente e destinatario, possa leggere i contenuti degli scambi di messaggi.
Già al momento della pubblicato del post, le parole di Zuckerberg si infrangevano contro le pratiche corsare del social network nella gestione dei dati, che per anni ha cavalcato la condivisione con le app di terze parti pur di accumulare informazioni sui suoi iscritti e poterle monetizzare in termini di pubblicità. Pratiche costate un’indagine della procura di New York. E le promesse risultavano in ritardo rispetto alle protezioni già previste, per esempio dal regolamento generale sulla protezione delle informazioni personali (Gdpr) in Europa, sui tempi di conservazione. Ora, all’ennesimo scivolone sull’archiviazione di un dato sensibile come la password, il piano dell’ad suona ancora più vuoto.
Come conserva le password Facebook?
Canahuati ha scritto che Facebook adopera numero tecniche di crittografia per proteggere le password, come hash e scrypt, che generano una stringa casuale di leggere e numeri al posto della chiave selezionata dall’utente. E che in questo mondo il social network può verificare che l’utente inserisca la sequenza corretta senza doverla conservare in chiaro. Tuttavia queste pratiche sponsorizzate dal gruppo si scontrano con un dato di fatto: per milioni di utenti non sono state applicate e per anni le loro password sono state leggibili da chiunque.
The post Facebook ha conservato le password di milioni di iscritti senza protezione appeared first on Wired.