Almeno duecento milioni di password archiviate su un file non criptato e accessibile a tutti. Ma i numeri potrebbero essere più alti, toccando quota 600 milioni. È questo l’ultimo scandalo informatico che ha investito Facebook, costretto ad ammettere in un post pubblico che la conservazione delle password di milioni di utenti è stata, per anni, quanto meno non adeguata. Una notizia che sa di beffa, alla luce dell'ultimo discorso di Zuckerberg sulla tutela dei dati personali.

Tutto è partito da una denuncia firmata dai ricercatori di KrebsOnSecurity, secondo i quali le password di milioni di utenti di Facebook sarebbero state archiviate in testo normale e finite alla mercé dei circa 20mila dipendenti dell'azienda di Menlo Park, nel cloud aziendale. Semplici file a portata di click, senza alcuna protezione, quasi fosse il menu di un ristorante, o il libretto di istruzioni di un elettrodomestico. E invece all’interno c’era l’accesso alla vita di gitale di milioni di persone. Anche perché le probabilità che le password utilizzate per accedere a Facebook siano uguali a quelle utilizzate per gli altri servizi, sono oggettivamente molto alte.

Al momento non è stato dimostrato in alcun modo che qualcuno abbia abusato dell’accesso a questi dati. E infatti Facebook non ha chiesto agli utenti interessati di cambiare password. Tuttavia, almeno 2mila dipendenti di Facebook hanno cercato qualcosa tra i file contenenti le password non crittografate. Per fare cosa? Impossibile dirlo.

L'ammissione di Facebook
Con un post ufficiale firmato da Pedro Canahuati, VP Engineering, Sicurezza e Privacy di Facebook, da Menlo Park hanno ammesso il problema, annunciando di averlo risolto. «All'interno di una revisione della sicurezza di routine a gennaio, - ha scritto Canahuati - abbiamo rilevato che alcune password utente venivano archiviate in un formato leggibile all'interno dei nostri sistemi di archiviazione di dati interni. Questo ha attirato la nostra attenzione perché i nostri sistemi di accesso sono progettati per mascherare le password usando tecniche che li rendono illeggibili. Abbiamo risolto questi problemi e, per precauzione, notificheremo a tutti le password che abbiamo trovato memorizzate in questo modo».

Il responsabile della sicurezza di Facebook, ha precisato che queste password «non sono mai state visibili a nessuno al di fuori di Facebook» e che non è stata trovata «alcuna prova fino ad oggi che qualcuno abbia abusato internamente o vi abbia fatto un accesso improprio». È stato anche reso noto che la maggior parte degli account interessati utilizza Facebook Lite, la versione dell'applicazione di Facebook progettata per i mercati emergenti (come l'India), dove le performance di connessione a Internet e dei device non sono altissime.

La privacy e Zuckerberg
Questo ennesimo scandalo arriva dopo mesi turbolenti, in cui Facebook ha dovuto fare i conti prima con lo scandalo Cambridge Analytica e poi con la notizia dei milioni di account hackerati per colpa di una falla nei token di accesso. Qualche giorno fa, però, da Menlo Park era stato Mark Zuckerberg in persona a segnare il cambio di marcia. Il Ceo aveva parlato al mondo del futuro del social network, dell'integrazione fra Facebook, Instagram e WhatsApp, e aveva posto l'accento proprio sulla tutela della privacy, individuandola come nuova stella polare di Facebook. Un discorso interessante, quello di Zuck, che metteva dei paletti importanti davanti ai governi che – sempre più insistentemente – gli chiedono di bypassare la crittografia end to end di WhatsApp per entrare nelle chat e scovare potenziali criminali. Per questo la notizia odierna delle password utente conservate senza alcuna protezione ha il sapore della beffa.

© Riproduzione riservata