Facebook sta fronteggiando l’ennesima polemica sulla gestione dei dati dei propri iscritti. Ad alcuni utenti, in fase di registrazione, il social network avrebbe chiesto la password della mail al fine di verificare l’indirizzo di posta elettronica inserito. La notizia si è diffusa su Twitter, nelle ultime ore ha fatto il giro del web e i portavoce di Facebook hanno dovuto promettere che non accadrà più, anche se al momento non è stata comunicata una tempistica.
Che cos’è successo esattamente? Il “caso” ha riguardato pochi utenti che stavano creando un nuovo account in circostanze che il sistema automatico dell’azienda sembra avere interpretato come sospette. Per replicare il problema i giornalisti hanno usato un indirizzo webmail usa e getta e si sono collegati tramite VPN. Stando alle fonti, sembra che tutto sia da ricondurre all’uso di indirizzi mail che non supportano lo standard Open Authorization, ossia un protocollo che consente di accedere alle risorse protette di un utente senza bisogno che quest’ultimo condivida username e password.
Hey @facebook, demanding the secret password of the personal email accounts of your users for verification, or any other kind of use, is a HORRIBLE idea from an #infosec point of view. By going down that road, you're practically fishing for passwords you are not supposed to know! pic.twitter.com/XL2JFk122l
— e-sushi (@originalesushi) March 31, 2019
Appurato che la stragrande maggioranza degli utenti può dormire sonni tranquilli, perché è montata la polemica? Perché, a prescindere dai motivi che hanno portato il sistema a comportarsi come descritto, quello adottato è un meccanismo di verifica fra i peggiori che si possano immaginare sotto il profilo della sicurezza. Lo fanno notare diversi esperti, fra cui Bennett Cyphers della Electronic Frontier Foundation, secondo cui una richiesta come quella di Facebook è difficile da distinguere da un attacco di phishing. Facebook, chiedendo la password, ha assicurato per iscritto che non l’avrebbe salvata, ma alla luce dei recenti problemi che ha avuto proprio con le password, è difficile essere fiduciosi a priori.

A difesa dell’azienda di Zuckerberg, c’è da dire che i pochi utenti raggiunti dalla bizzarra richiesta hanno potuto scegliere di non comunicare la password e di adottare un sistema di verifica alternativo, come per esempio il numero di telefono.
A prescindere dalle cause e dallo stretto numero di utenti coinvolti, questa vicenda è rilevante perché insegna che, a prescindere da chi sia a chiederla, la password della propria mail non va mai comunicata a nessuno.
Sostieni ilfattoquotidiano.it: mai come in questo momento abbiamo bisogno di te.
In queste settimane di pandemia noi giornalisti, se facciamo con coscienza il nostro lavoro,
svolgiamo un servizio pubblico. Anche per questo ogni giorno qui a ilfattoquotidiano.it siamo orgogliosi
di offrire gratuitamente a tutti i cittadini centinaia di nuovi contenuti: notizie, approfondimenti esclusivi,
interviste agli esperti, inchieste, video e tanto altro. Tutto questo lavoro però ha un grande costo economico.
La pubblicità, in un periodo in cui l'economia è ferma, offre dei ricavi limitati.
Non in linea con il boom di accessi. Per questo chiedo a chi legge queste righe di sostenerci.
Di darci un contributo minimo, pari al prezzo di un cappuccino alla settimana,
fondamentale per il nostro lavoro.
Diventate utenti sostenitori cliccando qui.
Grazie
Peter Gomez
GRAZIE PER AVER GIÀ LETTO XX ARTICOLI QUESTO MESE.
Ora però siamo noi ad aver bisogno di te.
Perché il nostro lavoro ha un costo.
Noi siamo orgogliosi di poter offrire gratuitamente a tutti i cittadini centinaia di nuovi contenuti ogni giorno.
Ma la pubblicità, in un periodo in cui l'economia è ferma, offre ricavi limitati.
Non in linea con il boom accessi a ilfattoquotidiano.it.
Per questo ti chiedo di sostenerci, con un contributo minimo, pari al prezzo di un cappuccino alla settimana.
Una piccola somma ma fondamentale per il nostro lavoro. Dacci una mano!
Diventa utente sostenitore!
Con riconoscenza
Peter Gomez