Sembra che a Facebook ultimamente non ne vada dritta una: dalle password salvate in chiaro di un paio di settimane fa, al black out in tutta Europa dei principali Social per circa tre ore (Facebook, Instagram e Whatsapp), parrebbe che ultimamente Mark ha più di qualche problema: i bug di Facebook nell’ultimo periodo non sembrano dare tregua né agli Utenti né agli Sviluppatori.
Diciamo che a Facebook il concetto di privacy non è mai piaciuto più di tanto: la riservatezza è sopravvalutata, meglio essere esibizionisti e chiari. E proprio in chiaro sono finite le password di centinaia di milioni di utenti a causa di uno degli ultimi bug che ha colpito il social network.
Questa è l’ennesima crepa nel corpo di una nave dalle dimensioni colossali, che però avrebbe bisogno di un po’ di manutenzione. Nel linguaggio nautico non si parlerà di revisione e di tagliando, come non se ne parla in informatica, ma la presenza dell’ennesimo bug di Facebook indica sicuramente una carenza a livello di sicurezza complessiva che deve essere assolutamente risolta.
Centinaia di milioni di password in chiaro a causa dell’ultimo bug che ha colpito Facebook: il rapporto tribolato tra il social e la privacy degli utenti non si smentisce e conferma una politica di Sicurezza IT da migliorare.
Bug di Facebook: diamo i numeri
Tanto per rimanere in tema di follia di sistemi informatici, diamo qualche numero: il bug ha reso visibili in formato testuale, ovvero disponibili in chiaro, le password di un numero di utenti che si aggira tra i 200 e i 600 milioni. Il problema è stato riscontrato a gennaio 2019 durante una verifica della sicurezza e sembra risalire addirittura al 2012.
Le password sono rimaste in bella mostra per gli addetti al backend (circa 20 mila persone), che normalmente grazie a tecnologie per la crittografia dei dati che si servono di sistemi di hashing e salting le visualizzano come sequenze casuali di caratteri, per ben sette anni. Il maggior numero di utenti i cui profili sono stati colpiti, utilizza Facebook Lite (la versione dell’applicazione pensata per le aree con connessioni meno potenti). È vero che spesso non si ha una sufficiente educazione alla sicurezza IT e le password scelte sono inefficienti, ma questo bug di Facebook non avrebbe perdonato neppure gli utenti più attenti e informati.
Il problema è stato risolto non appena gli addetti lo hanno rilevato e ad oggi Facebook ha introdotto, con la correzione del bug, sistemi di protezione aggiuntivi: oltre alla ripristinata crittografia delle password, è stato sviluppato un sistema di alert che prevede una doppia autenticazione qualora vi sia un tentativo di accesso da parte di qualcuno che ripetutamente sta sbagliando la chiave. In più è possibile, già da qualche tempo, impostare la verifica a due fattori, per poter autenticare gli accessi con un doppio step.
Il bug è presente nel sistema dal 2012 e ha reso inefficace il sistema di hashing che si occupava della crittografia delle password. Appena riscontrato il problema è stato risolto. Facebook ha approfittato della correzione del difetto per introdurre nuove misure di sicurezza: un sistema di alert che avverta qualora sia immessa ripetutamente una password errata.
#Facebookdown: le conseguenze per chi fa marketing?
..e il down dello scorso giorno? Gli analisti stimano che il blocco di Facebook e dei relativi servizi associati come Instagram, causi una perdita di circa 7,8 milioni di dollari alle tasche di Zuckerberg ogni ora!
Bisogna dirlo, il blocco dei Social, oltre ad averci momentaneamente impedito di condividere con il mondo cosa stavamo mangiando e ci ha costretti ad utilizzare Telegram o di riscoprire i cari vecchi SMS per comunicare con i nostri amici, ha causato grossi problemi anche a tutti gli inserzionisti.
Le attività di marketing e remarketing che prevedono l’uso di Facebook e Instagram, durante il blackout non hanno mostrato le nostre pubblicazioni sponsorizzate a tutto il pubblico, con la conseguente perdita di visibilità non solo del Social, ma anche nostra.
Il Blackout di Facebook, ha causato una perdita di circa 7,8 milioni di dollari ogni ora e la seguente interruzione delle pubblicazioni di tutte le Inserzioni sponsorizzate dalle Web Agency.
Per armarsi contro il bug di Facebook non serve l’insetticida
Cosa è indicato fare dunque per correre ai ripari? La nave sta colando a picco?
Secondo quanto riportato dal blog aziendale di Facebook (che ha dedicato un articolo all’accaduto, dopo che il giornalista Brian Krebs ha per primo denunciato l’accaduto sul proprio blog KrebsOnSecurity), non ci sono evidenze che le password coinvolte dal bug siano fuoriuscite dall’applicazione. Anche se dei 20 mila dipendenti che sono entrati in contatto con questi dati, ben duemila hanno effettuato ricerche che rimangono ignote, il Re dei social network considera il pericolo di fatto scampato.
Gli utenti coinvolti dal bug di Facebook sono pertanto stati avvertiti per mezzo di una notifica, ma non è stato raccomandato loro di cambiare la password né del social in questione, né del consanguineo Instagram, condividendo col quale la famiglia di origine, Facebook condivide anche i problemi.
La cosa più sicura da fare, tuttavia, rimane quella di cambiare la password di Facebook e di tutti gli altri account per i quali usiamo la stessa chiave o, quantomeno, di armarsi di un gestore di password. In fondo, non ci sono prove di un utilizzo illecito dei dati, ma non esistono nemmeno prove del contrario.
Facebook afferma che nessuno dei 20 mila dipendenti entrati in contatto con i dati esposti dal bug, abbia utilizzato in modo illecito le password apprese. Pertanto ha avvertito gli interessati dal problema con una notifica, senza però affermare l’impellente necessità di cambiare password.
Conclusioni
Lo scorso marzo si è verificata l’ennesima falla nella sicurezza di Facebook, con un bug che ha minato il funzionamento del sistema di crittografia dei dati, portando all’esposizione in chiaro di centinaia di milioni di password (tra i 200 e i 600 milioni).
Facebook ha segnalato il problema sul proprio blog aziendale: si tratta di un processo in atto dal 2012, che è stato rilevato solo lo scorso gennaio a seguito di un controllo di efficienza del sistema di sicurezza.
Nonostante circa 20 mila dipendenti abbiano avuto accesso alle password in questione, Facebook afferma che i dati non sono fuoriusciti dal proprio habitat e quindi, pur avendo avvertito gli utenti interessati dal bug tramite notifica, non manifesta la necessità di cambiare la password.
Dal canto nostro consigliamo di cambiare la password del social e di tutti gli account che con esso la condividono: anche il Titanic pareva solido, ma le scialuppe sono servite.
Commenti