Ancora problemi per il colosso Facebook, l’azienda ha ammesso di aver memorizzato le password di centinaia di milioni di utenti in chiaro.
Nuovi problemi per il colosso dei social network Facebook, ha hanno ammesso di aver memorizzato le password di centinaia di milioni di utenti in chiaro.
Tra le password memorizzate da Facebook in chiaro ci sono quelle appartenenti ad ignari utenti dei servizi Facebook Lite, Facebook e Instagram.
“Nel corso di una ispezione di routine sulla sicurezza effettuata in gennaio abbiamo rilevato che alcune password utente venivano archiviate in un formato leggibile nei nostri sistemi di archiviazione dati interni.” Si legge nell’annuncio pubblicato dal social network.
“Questo ha attirato la nostra attenzione perché i nostri sistemi di login sono progettati per mascherare le password usando tecniche che li rendono illeggibili”.
La sconcertante scoperta è stata quindi fatta in a gennaio dallo staff IT dell’azienda nell’ambito di una normale revisione interna della sicurezza. Le password sono state archiviate in chiaro nei sistemi di archiviazione dati interni, ciò significa che gli stessi erano accessibili solo ai dipendenti, ma non all’esterno come più volte sottolineato dall’azienda.
La buona notizia è che il colosso statunitense ha immediatamente risolto il problema annunciando che gli utenti interessati dall’incidente saranno informati dell’accaduto.
Secondo Facebook, centinaia di milioni di persone che usano Facebook Lite, decine di milioni di altri utenti di Facebook e decine di migliaia di utenti di Instagram sono interessati dal problema.
“Per essere chiari, queste password non sono mai state accessibili a nessuno al di fuori di Facebook e non abbiamo trovato alcuna prova fino ad oggi che qualcuno internamente ne abbia abusato o che le abbia utilizzate per un accesso non autorizzato agli account”, continua Facebook.
“Nel corso della nostra analisi, abbiamo esaminato il modo in cui archiviamo alcune altre categorie di informazioni, come i token di accesso, e abbiamo risolto i problemi non appena li abbiamo scoperti”.
Che cosa sarebbe successo
Secondo il popolare investigatore popolare Brian Krebs che appresa la notizia ha indagando sull’incidente, le password di centinaia di milioni di utenti di Facebook erano state memorizzate in chiaro e ricercabili da migliaia di dipendenti dell’azienda. Krebs ha datato alcuni casi al 2012, ovvero sin da allora alcune password erano archiviate all’interno dei sistemi del social network in chiaro. L’investigatore ad oggi non ha comunque trovato alcuna indicazione che i dipendenti abbiano abusato dell’accesso a questi dati.
Brian Krebs ritiene che le password esposte siano tra 200 milioni e 600 milioni, che sarebbero state accessibili da oltre 20.000 dipendenti di Facebook.
Krebs ha citato un dipendente senior di Facebook, che ha familiarità con le indagini e che ha parlato in condizione di anonimato per ovvi motivi, il quale ha rivelato che la società sta attualmente indagando su una serie di incidenti riguardanti dipendenti che hanno creato applicazioni che hanno registrato password su server aziendali interni non cifrandole.
Secondo Krebs, che ha citato il suo informatore, i registri degli accessi hanno mostrato che circa 2.000 ingegneri o sviluppatori hanno realizzato circa nove milioni di interrogazioni interne a strutture dati contenenti password in chiaro.
Che cosa suggerisce ora Facebook
Anche se nessuna password è stata esposta all’esterno dell’azienda, Facebook suggerisce i seguenti passaggi per proteggere gli account degli utenti:
- Cambiare la tua password utilizzando l’apposita sezione nelle impostazioni su Facebook e Instagram. Evitare di riutilizzare le password per servizi diversi.
- Scegli password complesse per tutti gli account. Le app di gestione password possono essere di grande aiuto allo scopo.
- Considerare la possibilità di abilitare l’autenticazione a due fattori per proteggere il proprio account.Â
A questo punto nasce spontanea la domanda su quale possano essere le ripercussioni sull’azienda per l’incidente, soprattutto anche alla luce dell’adozione del regolamento per la privacy GDPR (qualora vi siano cittadini europei coinvolti) di cui abbiamo tanto discusso.