Facebook sta fronteggiando l’ennesima polemica sulla gestione dei dati dei propri iscritti. Ad alcuni utenti, in fase di registrazione, il social network avrebbe chiesto la password della mail al fine di verificare l’indirizzo di posta elettronica inserito. La notizia si è diffusa su Twitter, nelle ultime ore ha fatto il giro del web e i portavoce di Facebook hanno dovuto promettere che non accadrà più, anche se al momento non è stata comunicata una tempistica.
Che cos’è successo esattamente? Il “caso” ha riguardato pochi utenti che stavano creando un nuovo account in circostanze che il sistema automatico dell’azienda sembra avere interpretato come sospette. Per replicare il problema i giornalisti hanno usato un indirizzo webmail usa e getta e si sono collegati tramite VPN. Stando alle fonti, sembra che tutto sia da ricondurre all’uso di indirizzi mail che non supportano lo standard Open Authorization, ossia un protocollo che consente di accedere alle risorse protette di un utente senza bisogno che quest’ultimo condivida username e password.
Hey @facebook, demanding the secret password of the personal email accounts of your users for verification, or any other kind of use, is a HORRIBLE idea from an #infosec point of view. By going down that road, you're practically fishing for passwords you are not supposed to know! pic.twitter.com/XL2JFk122l
— e-sushi (@originalesushi) March 31, 2019
Appurato che la stragrande maggioranza degli utenti può dormire sonni tranquilli, perché è montata la polemica? Perché, a prescindere dai motivi che hanno portato il sistema a comportarsi come descritto, quello adottato è un meccanismo di verifica fra i peggiori che si possano immaginare sotto il profilo della sicurezza. Lo fanno notare diversi esperti, fra cui Bennett Cyphers della Electronic Frontier Foundation, secondo cui una richiesta come quella di Facebook è difficile da distinguere da un attacco di phishing. Facebook, chiedendo la password, ha assicurato per iscritto che non l’avrebbe salvata, ma alla luce dei recenti problemi che ha avuto proprio con le password, è difficile essere fiduciosi a priori.
A difesa dell’azienda di Zuckerberg, c’è da dire che i pochi utenti raggiunti dalla bizzarra richiesta hanno potuto scegliere di non comunicare la password e di adottare un sistema di verifica alternativo, come per esempio il numero di telefono.
A prescindere dalle cause e dallo stretto numero di utenti coinvolti, questa vicenda è rilevante perché insegna che, a prescindere da chi sia a chiederla, la password della propria mail non va mai comunicata a nessuno.