Pochi giorni fa per creare un profilo Facebook con servizi web-mail, diversi da quelli più comunemente usati come Hotmail o Gmail, per la fase finale di verifica dell’account era richiesta la password dell’account email. Avete capito bene, non la password di Facebook, la password dell’account email! Bizzarro, vero?

DIGITALIANI

Mentre i dirigenti di Facebook stanno cercando di portare la società ad un livello di protezione dei dati superiore sia internamente che con gli sviluppatori di applicazioni di terze parti, si scopre questa nuova falla. Come riportato da Kevin Poulson del Daily Beast il 2 aprile, alcuni nuovi utenti di Facebook per poter registrare i loro account dovevano fornire sia il proprio indirizzo email sia la propria password.

Le richieste sono state rivolte agli utenti con servizi di hosting di posta elettronica basati sul Web. Gmail ad esempio non era tra questi e quindi non era richiesta la verifica con la password dell’account di posta elettronica.

Un portavoce di Facebook ha affermato che le password delle e-mail non sono state archiviate da Facebook. Ma dati i precedenti problemi di Facebook con la registrazione delle password e il mantenimento di altri dati personali degli utenti ci sale un pò di sano scetticismo.

Il portavoce di Facebook ha anche affermato che la società stava mettendo fine alla pratica di richiedere password per gli account webmail e effettivamente, secondo alcuni test effettuati nei giorni scorsi, sembra che il problema sia stato risolto.

Nel precedente video, ho menzionato UpGuard, la società di Cyber-Security che aveva rilevato alcuni database di Facebook salvati in chiaro sui server pubblici di Amazon.

E ci sono delle novità!

Le esposizioni dei dati degli utenti, riportate da UpGuard, sono state collegate in particolare a due applicazioni Facebook, correlate a due diverse società:

La prima, da Cultura Colectiva – una società di media messicana. E’ stato trovato un file da 146 gigabyte con oltre 540 milioni di record, inclusi ID account Facebook, nomi e reazioni associate, “Mi piace” e commenti. I ricercatori di UpGuard e hanno confrontato la portata dei contenuti con quella raccolta da Cambridge Analytica nel famoso scandalo – vi linko qui un video di Matteo Flora sul precedente scandalo legato a Facebook.

Passiamo al secondo caso, su un server Amazon S3, è stato trovato il backup di un database riferito ad un’applicazione integrata di Facebook chiamata “At the Pool “. Il database includeva le etichette delle colonne, suggerendo che cosa ci fosse scritto sotto: ID utente di Facebook e nomi, amici, Mi piace, foto, eventi, gruppi, check-in di posizione e altri dati del profilo, inclusi musica, libri, film e interessi preferiti. C’era anche una colonna “password”, ma le password erano presumibilmente per l’app “At the Pool” piuttosto che per l’account Facebook dell’utente.

Tuttavia, queste password potrebbero rappresentare un rischio se esposte, in particolare se fossero state riutilizzate in altri account.

I dati presenti sul server sono stati rimossi o protetti, ma è importante sottolineare che comunque ci sono voluti quasi quattro mesi dalla data della prima divulgazione per garantirne l’oblio. L’applicazione non è più attiva e la società che possedeva l’applicazione potrebbe aver cessato di esistere

Entrambi questi casi dimostrano che mentre Facebook ha promesso di limitare la capacità degli sviluppatori di estrarre dati personali dal proprio servizio in seguito allo scandalo di Cambridge Analytica, ci sono ancora terze parti che hanno accesso a grandi volumi di dati degli utenti Facebook. E Facebook non sta necessariamente controllando in che modo memorizza quei dati, nonostante le nuove politiche dell’azienda.