Facebook, la tempesta imperfetta della privacy in blu

Una vulnerabilità nelle API di Facebook avrebbe permesso ad almeno 100mila applicazioni di consegnare inavvertitamente i token per l'accesso a milioni di informazioni personali degli utenti in blu. Intraprese, in ritardo, misure correttive

Roma – A lanciare l’allarme ci ha pensato una analisi pubblicata sul blog ufficiale di Symantec , società specializzata in sicurezza informatica. Una specifica vulnerabilità delle API sfruttate da Facebook avrebbe permesso ad un numero spropositato di applicazioni di avere accesso – in maniera quasi totale – alle informazioni contenute in milioni di profili in blu.

Date di nascita, indirizzi fisici e di posta elettronica, album fotografici, addirittura conversazioni avvenute tramite messaggi privati o chat. Contenuti ed informazioni finite nelle mani di terze parti – per lo più advertiser consegnate inavvertitamente da almeno 100mila applicazioni presenti sul gigantesco social network .

Stando all’analisi condotta dagli esperti di Symantec , la massiva fuoriuscita di dati sarebbe andata avanti per anni, con centinaia di migliaia di applicazioni pronte a consegnare milioni di token per il libero accesso alle informazioni . Gli stessi esperti di Symantec hanno sottolineato come i singoli sviluppatori non debbano essere considerati per forza responsabili.

In altre parole , ad essere vulnerabili sarebbero le API di Facebook, attive fin dal primo lancio delle applicazioni in blu nel 2007. Symantec non è riuscita a quantificare la possibile mole di dati e informazioni che potrebbero essere ancora nelle grinfie di società terze e signori dell’ advertising .

Pare che i responsabili di Facebook abbiano già intrapreso misure correttive, in collaborazione con la stessa Symantec . Agli utenti più allarmati è stato consigliato di modificare la propria password d’accesso al sito in blu. Un aggiornamento della Developer Roadmap del social network ha inoltre obbligato tutte le applicazioni a sfruttare i parametri del nuovo standard di sicurezza OAuth 2.0.

Un post apparso sul blog ufficiale di Facebook ha tuttavia sottolineato come l’analisi condotta da Symantec presenti delle inesattezze. Secondo Douglas Purdy, a capo delle relazioni con gli sviluppatori, un’inchiesta interna al sito avrebbe confermato la mancata condivisione di informazioni personali con società terze o advertiser .

Stando al parere dello stesso Purdy, una società sarebbe comunque obbligata a rispettare i termini di servizio imposti da Facebook, che vietano attualmente lo sfruttamento dei dati personali degli utenti. C’è un piccolo dettaglio: nessuna vulnerabilità delle API di Facebook dovrebbe permettere alle applicazioni di rilasciare i token per milioni di informazioni.

Mauro Vecchio

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

Chiudi i commenti