Milioni di utenti Facebook potrebbero aver avuto le proprie password conservate in chiaro e in server accessibili ai dipendenti dell’azienda, secondo quanto rivelato dal blog specializzato in sicurezza informatica Krebsonsecurity. A confermare la notizia è stata la stessa azienda, che in una nota ufficiale ha chiarito di aver individuato un archivio di password esposte durante un controllo delle proprie procedure di sicurezza.
Gli archivi con le credenziali degli utenti vengono conservati in formato non leggibile e in modo cifrato: ciò vuol dire che ciascuna password viene archiviata dopo essere stata modificata da un algoritmo che la rende intellegibile all’occhio umano. Tuttavia, la fonte interna all’azienda - citata da Krebsonsecurity - ha spiegato che questo sistema non avrebbe funzionato per “milioni di password”, che quindi sarebbero state leggibili ed esplorabili da 20 mila dipendenti dell’azienda.
Tramite un’inchiesta interna, Facebook starebbe ancora cercando di determinare quante password sono state esposte e per quanto tempo. Finora gli ingegneri di Menlo Park hanno individuato archivi di password non protette risalenti al 2012.
“Per essere chiari, queste password non sono mai state visibili a nessuno al di fuori di Facebook e a tutt'oggi non abbiamo trovato alcuna prova che qualcuno ne abbia abusato internamente o vi abbia avuto accesso in modo improprio”, ha scritto il vicepresidente della sicurezza di Facebook, Pedro Canahuati, in un comunicato. “Stimiamo che invieremo una notifica [del fatto, ndr] a centinaia di milioni di utenti di Facebook Lite, decine di milioni di altri utenti Facebook e decine di migliaia di utenti di Instagram”. Facebook Lite è una versione più leggera dell’app di Facebook, specificamente studiata per essere utilizzata in regioni dove la connessione è più lenta.
Citando la fonte anonima, Krebsonsecurity ha indicato che l’indagine interna della società avrebbe finora consentito di ipotizzare che gli utenti colpiti sarebbero tra i 200 milioni e i 600 milioni. Secondo le stime più recenti, oggi gli utenti che utilizzano almeno una delle app di Facebook (comprese Instagram e Whatsapp) sono 2,5 miliardi.
In un'intervista rilasciata a KrebsOnSecurity, l'ingegnere software di Facebook, Scott Renfro, ha dichiarato: “Finora nelle nostre indagini non abbiamo trovato casi in cui qualcuno ha cercato intenzionalmente le password, né abbiamo trovato segni di un uso improprio di questi dati. A questo punto quello che sappiamo è che queste password sono state inavvertitamente registrate (visualizzate o in qualche modo apparse inavvertitamente durante l’utilizzo dei sistemi interni all’azienda, ndr), ma da questo non deriva alcun rischio reale”. Renfo ha spiegato anche che il social network intende notificare l’esposizione delle password solo nei casi in cui dovessero riscontrarne un reale abuso.
Cosa fare
Il social network ha precisato che le password sono state visibili solo ai dipendenti interni all’azienda, e rassicura quindi gli utenti. In ogni caso, si suggerisce di modificare le password di Facebook e Instagram a titolo puramente preventivo.
Un ulteriore suggerimento è di attivare la verifica a due fattori, che consiste nella ricezione di un sms contenente un codice ogni qualvolta si esegue l’accesso ai social network: in questo modo, un malintenzionato non potrebbe accedere al profilo dell’utente a meno di non conoscerne la password e di poter leggere anche i suoi messaggi.
La notizia arriva in un momento delicato per Mark Zuckerberg: la scorsa settimana il New York Times ha riferito che sarebbe in corso un’indagine federale volta a investigare presunti accordi sul trattamento di dati tra il social network e le principali aziende tecnologiche.
All'inizio di marzo invece, l’azienda è stata oggetto di critiche con l’accusa di aver utilizzato il numero di telefono degli utenti - fornito per l’autenticazione a due fattori - per scopi commerciali.