Ancora guai per Facebook. Il social ha annunciato di avere effettuato verifiche di routine sulla sicurezza, scoprendo che “alcune password” erano memorizzate in chiaro nei sistemi di storage accessibili internamente dai dipendenti.
“Alcune password”, com’è facile intuire, con un servizio come Facebook significa probabilmente centinaia di milioni di password. Brian Krebs, giornalista specializzato in sicurezza informatica, parla di numeri che variano dai 200 ai 600 milioni di username e password, accessibili in chiaro da 20.000 dipendenti del social. Oltre a quelle di Facebook, in alcuni casi, a quanto pare era possibile accedere anche a username e password di account Instagram e di utenti che usano Facebook Lite.
Il social di Zuckerberg riferisce che al momento non vi sono prove che qualcuno abbia impropriamente usato gli archivi in chiaro ma Krebs sul suo blog KrebsOnSecurity riferisce di almeno 2000 ingegneri o sviluppatori che hanno interrogato con delle query gli archivi in chiaro.
In un post sul blog aziendale, Facebook non indica quanti utenti sono coinvolti nel problema ma riferisce genericamente che “come parte di un’analisi di routine di sicurezza a gennaio abbiamo scoperto che alcune password degli utenti erano conservate in un formato leggibile all’interno nei nostri sistemi di storage. Questo ha sollevato la nostra attenzione giacché i nostri sistemi di log-in sono pensati per mascherare le password utilizzando tecniche che le rendono illeggibili. Abbiamo risolto la questione e in modo precauzionale invieremo una notifica a tutti coloro la cui password era conservata in quel modo”.
La General Data Protection Regulation (GDPR) prevede espressamente che le password siano conservate in modo sicuro. Molto probabilmente la Commissione Ue vorrà delle spiegazioni dl Facebook e capire perché i dati degli utentidel social erano conservari senza rispettare parametri di sicurezza basilari.
Se usate Facebook, il consiglio è non solo di cambiare password ma farlo anche per gli account di altri servizi, soprattutto se avete il vizio di usare le stesse password per più servizi. L’ideale sarebbe usare password esclusive per gli account più importanti, soprattutto per la posta elettronica, i conti online e i social network. Quando possibile, attivate SEMPRE la verifica in due passaggi sugli importanti. Se un cybercrimnali viola o in qualche modo scopre la vostra password super affidabile, questo metodo vi protegge, inviando un messaggio di conferma su un vostro dispositivo (es. un messaggio sul telefono).
