Facebook password in chiaro: nessuna fuga di credenziali


Facebook ogni mese, nel mondo, ha 2,2 miliardi di utenti attivi. Il mese scorso, in un comunicato firmato da Pedro Canahuati (VP Engineering, Sicurezza e Privacy) apparso nella newsroom di FB, si informava che le password di milioni di utenti (causa un bug), erano visibili in chiaro agli addetti ai lavori della piattaforma e registrate nei server. Alcune di queste risalgono al 2012.

Quindi la memorizzazione non è di qualche mese o settimana.

Il numero di password salvate si aggira tra i 200 e i 600 milioni e sono quelle delle persone con un account su Facebook, Facebook Lite – versione più leggera del social network creato per connessioni a bassa velocità – e Instagram.

Come lo si è scoperto?

Durante un controllo di routine su di un codice, avvenuto a gennaio di quest’anno da parte degli ingegneri specializzati nella sicurezza del social network, si è notato che le password venivano salvate non crittografate.

Nessun sistema le codificava e rendeva inusabili, salvandole nei server interni in chiaro. Un po’ come quando la si segna su di un foglio di carta per non dimenticarla e la si lascia sotto gli occhi di tutti. Questa è una falla importante, dato che i sistemi interni del social network sono creati apposta per far in modo che le password non siano visibili a nessuno. Invece, in questo caso, milioni di dati erano alla portata di 20 mila dipendenti.

La soffiata e l’intervista

Oltre alla notizia, apparsa sulla rassegna stampa online di Facebook, un’altra persona sapeva quello che stava accadendo a Menlo Park: Brian Krebs. Krebs è un giornalista americano che ha iniziato a indagare e a specializzarsi in sicurezza informatica e cyberciminali quando lavorava al Washington Post.

Dopo aver capito che questa era la sua strada, si è licenziato e ha deciso di fondare un suo blog: krebsonsecurity.com. Piattaforma nella quale ha riporta sotto forma di notizie, il frutto delle sue scoperte.

Ma come ha fatto Brian Krebs a sapere quello che stava succedendo nei server di Facebook? Grazie a una segnalazione anonima da parte di lavoratore interno a FB.

Quindi una fonte sicura. A sua volta Krebs per capire meglio, ha intervistato un ingegnere informatico di Facebook: Scott Renfro, il quale non conferma i numeri che circolano sulle milioni di password memorizzate e resta sul vago, anche su quanti lavoratori ne siano venuti a conoscenza.

Inoltre, rassicura sul fatto che nessuno le ha cercate di sua iniziativa. Una notizia che in parte cerca di sedare gli animi preoccupati, visto che una uscita dal quartier generale segnerebbe una seria violazione dei protocolli di sicurezza.

Il comportamento di Facebook

Facebook per scrupolo e correttezza, ha fatto partire un’indagine interna e al momento nega che qualcuno abbia utilizzato questi dati per infrangere la privacy degli utenti.

Ad ogni modo, sia Pedro Canahuati che Renfro affermano che gli utenti di Facebook, Facebook Lite e Instagram verranno informati della violazione e invitati a cambiare la password, solo se si scoprirà che c’è stato un vero accesso illegittimo ai dati.

E se nel comunicato, si può leggere come di solito lavora Facebook per protegger i dati delle persone che decidono di utilizzare il social network, accedendo così ai consigli su come proteggere il proprio account, Renfro e Krebs affermano che quanto è successo costringerà cambiamenti a lungo termine sull’infrastruttura interna di Facebook.

Una soluzione necessaria per rafforzare la struttura e per evitare il ripetersi di episodi simili.

#passwordfacebook #violazionesicurezza

COFFEEBYTES rappresenta un concept brand ideato da SaidiSEO.com

Sede Ufficio: Via Privata Francesco Koristka, 4, 20154 Milano MI - P.IVA 09215030967
e-mail per informazioni: info@ferdinandodagostino.com; saidiseo@ferdinandodagostino.com

Ferdinando Dagostino - SaidiSEO "Web Creative e SEO"

P.IVA 09215030967

YouTube CB.png
Spreaker CB.png
Facebook CB.png
Instagram CB.png
LinkedIn CB.png