Oooops! Face­book ha sal­va­to per anni le pas­sword in chiaro

Ed ecco l’en­ne­si­ma, gra­vis­si­ma, ope­ra di Face­book che ormai dav­ve­ro sem­bra esse­re diven­ta­to un’ac­coz­za­glia di erro­ri, mano­vre e scor­ret­tez­ze, più che un Social Net­work: dal 2012, fino a Gen­na­io 2019, per un “erro­re”, le pas­sword degli uten­ti sono sta­te sal­va­te in for­ma­to testo, sen­za alcu­na crit­to­gra­fia e sen­za alcu­na protezione.

La rive­la­zio­ne arri­va diret­ta­men­te da Brian Krebs, eccel­len­te quan­to affi­da­bi­le tito­la­re del sito Krebs On Secuir­ty, ed ha rice­vu­to set­ti­ma­na scor­sa vasta eco nel­la stam­pa spe­cia­liz­za­ta (mai ovvia­men­te in quel­la main­stream, più inte­res­sa­ta agli even­ti del meteo e del pet­te­go­lez­zo che a dare infor­ma­zio­ni alle persone).

Il pro­ble­ma è sta­to sco­per­to da poco e, alme­no a quan­to pare, imme­dia­ta­men­te cor­ret­to. Resta però il fat­to che le pas­sword di cen­ti­na­ia di milio­ni di account sono rima­ste sui ser­ver di FB a  dispo­si­zio­ne di chiun­que apris­se i file di log, fin dal 2012: par­lia­mo di 7 anni!

Con la con­sue­ta fac­cia tosta, Face­book comu­ni­ca che “le pas­sword non sono sta­te rese visi­bi­li a nes­su­no ester­no all’a­zien­da e non abbia­mo tro­va­to pro­ve di abu­si da par­te dei nostri dipen­den­ti ne di acces­so impro­pri”.

Pec­ca­to che, nel­la stra­gran­de mag­gio­ran­za dei casi, gli uten­ti usi­no spes­so la stes­sa pas­sword per acce­de­re ad account diver­si, anche per­chè ricor­da­re tut­te le cen­ti­na­ia di pas­sword uti­liz­za­te in giro per il web diven­te­reb­be un’im­pre­sa epi­ca. Cer­to, è un prin­ci­pio soli­do del­la sicu­rez­za infor­ma­ti­ca: mai usa­re cre­den­zia­li ugua­li su account diver­si ma que­sto non toglie che, pur essen­do Face­book respon­sa­bi­le solo per even­tua­li abu­si per­pe­tra­ti sui suoi siste­mi, ci sia comun­que un gros­so peri­co­lo per mol­ti, gra­zie all’in­com­pe­ten­za ed alla man­can­za di rispet­to di Men­lo Park e di Zuc­ker­berg per la sicu­rez­za dei pro­pri utenti.

Ma d’al­tron­de, come già det­to in diver­se occa­sio­ni, sap­pia­mo per­fet­ta­men­te che la pri­va­cy dei pro­pri uten­ti non è di cer­to un must per FB.

Nel frat­tem­po, per sicu­rez­za, e visto che pare che la segna­la­zio­ne al Garan­te non sia sta­ta fat­ta dato che “non ci sono sta­ti abu­si”, il con­si­glio è di cam­bia­re imme­dia­ta­men­te la pas­sword di acces­so sia a Face­book che ad Insta­gram e, ovvia­men­te, nel caso anco­ra sia­te tra colo­ro che, nono­stan­te le pro­ve con­ti­nue di quan­to sia peri­co­lo­so far­lo, usa­no anco­ra Mes­sen­ger (sia stan­dard che Lite), discon­net­te­re tut­te le ses­sio­ni e ricol­le­gar­vi con la nuo­va password.

Ovvia­men­te aven­do cura di sce­glier­ne una che sia uni­ca per FB.