Facebook sta fronteggiando l’ennesima polemica sulla gestione dei dati dei propri iscritti. Ad alcuni utenti, in fase di registrazione, il social network avrebbe chiesto la password della mail al fine di verificare l’indirizzo di posta elettronica inserito. La notizia si è diffusa su Twitter, nelle ultime ore ha fatto il giro del web e i portavoce di Facebook hanno dovuto promettere che non accadrà più, anche se al momento non è stata comunicata una tempistica.
Che cos’è successo esattamente? Il “caso” ha riguardato pochi utenti che stavano creando un nuovo account in circostanze che il sistema automatico dell’azienda sembra avere interpretato come sospette. Per replicare il problema i giornalisti hanno usato un indirizzo webmail usa e getta e si sono collegati tramite VPN. Stando alle fonti, sembra che tutto sia da ricondurre all’uso di indirizzi mail che non supportano lo standard Open Authorization, ossia un protocollo che consente di accedere alle risorse protette di un utente senza bisogno che quest’ultimo condivida username e password.
Hey @facebook, demanding the secret password of the personal email accounts of your users for verification, or any other kind of use, is a HORRIBLE idea from an #infosec point of view. By going down that road, you're practically fishing for passwords you are not supposed to know! pic.twitter.com/XL2JFk122l
— e-sushi (@originalesushi) March 31, 2019
Appurato che la stragrande maggioranza degli utenti può dormire sonni tranquilli, perché è montata la polemica? Perché, a prescindere dai motivi che hanno portato il sistema a comportarsi come descritto, quello adottato è un meccanismo di verifica fra i peggiori che si possano immaginare sotto il profilo della sicurezza. Lo fanno notare diversi esperti, fra cui Bennett Cyphers della Electronic Frontier Foundation, secondo cui una richiesta come quella di Facebook è difficile da distinguere da un attacco di phishing. Facebook, chiedendo la password, ha assicurato per iscritto che non l’avrebbe salvata, ma alla luce dei recenti problemi che ha avuto proprio con le password, è difficile essere fiduciosi a priori.
A difesa dell’azienda di Zuckerberg, c’è da dire che i pochi utenti raggiunti dalla bizzarra richiesta hanno potuto scegliere di non comunicare la password e di adottare un sistema di verifica alternativo, come per esempio il numero di telefono.
A prescindere dalle cause e dallo stretto numero di utenti coinvolti, questa vicenda è rilevante perché insegna che, a prescindere da chi sia a chiederla, la password della propria mail non va mai comunicata a nessuno.
Prima di continuare
Se sei qui è evidente che apprezzi il nostro giornalismo. Come sai un numero sempre più grande di persone legge Ilfattoquotidiano.it senza dover pagare nulla. L’abbiamo deciso perché siamo convinti che tutti i cittadini debbano poter ricevere un’informazione libera ed indipendente.
Purtroppo il tipo di giornalismo che cerchiamo di offrirti richiede tempo e molto denaro. I ricavi della pubblicità ci aiutano a pagare tutti i collaboratori necessari per garantire sempre lo standard di informazione che amiamo, ma non sono sufficienti per coprire i costi de ilfattoquotidiano.it.
Se ci leggi e ti piace quello che leggi puoi aiutarci a continuare il nostro lavoro per il prezzo di un cappuccino alla settimana.
Grazie,
Peter Gomez
Articolo Precedente
Una VPN veramente gratuita e senza inganni, l’ideale per vedere la TV in streaming all’estero
Articolo Successivo
Google Plus è un progetto fallito ed è in buona compagnia
