I guai non finisco più per la società di Mark Zuckerberg. Proprio nell’anno in cui il giovane fondatore di Facebook ha dichiarato di voler risolvere i problemi dell’azienda, il social annuncia che durante alcune verifiche di routine ha scoperto che “alcune password” erano memorizzate in chiaro e che erano accessibili internamente dai dipendenti. Per la precisione, da almeno ventimila dipendenti di Facebook. E il numero di password accessibili vuol dire alcune centinaia di milioni (a fronte di un totale di due miliardi di rotti di utenti attivi).
Le password, spiega Facebook, non erano visibili da nessuno al di fuori della società. E le più vecchie risalivano almeno al 2012. Sono varie le società di sicurezza che hanno partecipato all’auditing. KrebsOnSecurity, una delle prime a prendere coscienza del problema, ha intervistato alcuni dirigenti dell’azienda: secondo la società le password registrate in chiaro e quindi esposte ai dipendenti sarebbero un numero compreso tra i 200 e i 600 milioni.
Facebook ha scoperto il problema a gennaio, durante un controllo di routine. La maggior parte delle password erano quelle degli utenti che utilizzano Facebook Lite, l’app pensata per la connessione da parte degli utenti che vivono in regioni dove le connessioni internet disponibili sono poco veloci. L’azienda sta cercando di capire il motivo per cui i dipendenti hanno registrato le password utilizzando sistemi di scrittura sui server che hanno creato file di testo non crittati.
Facebook adesso ha dichiarato che intende notificare alcune centinaia di milioni di utenti di Facebook Lite, alcune decine di milioni di utenti di Facebook e alcune decine di migliaia di utenti di Instagram coinvolti, del fatto che le loro password sono diventate insicure.
Le società di sicurezza avvertono che in questi casi è buona regola non solo cambiare la password di accesso a Facebook ma anche e soprattutto quella a tutti gli altri servizi ai quali si accede utilizzando la medesima password, come spesso è abitudine di molti utenti: utilizzare la stessa password per accedere a più servizi. A conermarlo è Sophos, con il senior technologist Paul Ducklin, secondo cui cambiarre password potrebbe essere indicato per essere sicuri che nessuna delle password sia caduta nelle mani di hacker. Consigliato allo stesso tempo attivare l’autenticazione a due fattori, su qualsiasi account e non solo quello di Facebook.
Secondo John Shier, senior security advisor di Sophos, “Nonostante i recenti scandali che Facebook ha dovuto affrontare in tema sicurezza e privacy, questo ultimo incidente è un po’ diverso dai precedenti. I dati di autenticazione sono qualcosa che Facebook tratta molto seriamente e ha messo in atto molti meccanismi, sia esternamente che internamente, per garantire che le credenziali degli utenti siano salvaguardate. Mentre i dettagli di quanto avvenuto stanno ancora emergendo, è probabile che si tratti di un errore di programmazione accidentale che ha portato alla registrazione delle credenziali in chiaro. Detto ciò, questo non sarebbe mai dovuto accadere e Facebook deve assicurarsi che le credenziali o i dati dell’utente non siano stati compromessi a causa di questo errore. L’incidente potrebbe essere l’incentivo necessario per convincere gli utenti a cambiare la propria password, spesso troppo debole e utilizzata per accedere a più account o portali e spronarli ad abilitare l’autentificazione a 2 fattori”.
