Le password di Facebook salvate in chiaro

Le password di una buona fetta degli utenti Facebook (da 200 a 600 milioni) salvate in chiaro all'interno dei server del social network.

Fin dal 2012 il social network in blu ha salvato le password per l’accesso agli account di centinaia di milioni di utenti (da 200 a 600, fino a oltre il 20% degli iscritti) in plain text, senza alcun tipo di protezione. Le migliaia di dipendenti di Facebook sono così stati in grado di consultarle, con potenziali conseguenze ben immaginabili in termini di violazione della privacy. A riportarlo il sito KrebsOnSecurity del giornalista Brian Krebs.

Facebook: le password degli utenti in chiaro

La soffiata è giunta in un primo momento da un collaboratore del gruppo, rimasto anonimo per ovvie ragioni. I codici segreti sono stati immagazzinati in server interni alla compagnia, senza l’impiego di alcun algoritmo crittografico. Al momento sembra essere in corso un’indagine interna alla società per meglio comprendere l’accaduto e per capire se vi siano stati abusi o conseguenze per gli iscritti.

La vicenda è stata confermata dall’azienda, che per il momento non fornisce alcun numero ufficiale, limitandosi ad affermare che se necessario avviserà gli interessati, escludendo però che sarà necessario procedere alla modifica della password. Questa la dichiarazione affidata da Scott Renfro, ingegnere di FB, a Krebs.

Nella nostra indagine non abbiamo riscontrato casi di accesso volontario alle password né segni di abuso delle informazioni. Abbiamo scoperto che le password sono state inavvertitamente salvate nei log, ma questo non comporta alcun rischio. Vogliamo rassicurare su questo e forzeremo una modifica della password solo nel caso in cui emergeranno prove di abusi.

Facebook, Facebook Lite e Instagram

Stando a quanto reso noto, Facebook potrebbe notificare l’accaduto a centinaia di milioni di utenti che si sono connessi al social network attraverso la versione Lite dell’applicazione mobile, decine di milioni che l’hanno fatto in altri modi e decine di migliaia di iscritti alla piattaforma Instagram. Il salvataggio delle password nei log è avvenuto per anni, ma gli ingegneri di Menlo Park se ne sono resi conto solo nel gennaio 2019, durante l’analisi di una porzione di codice. Prosegue Renfro.

Questo ha portato alla creazione di una piccola task force per assicurarsi di valutare ogni ipotesi. Ci sono alcune procedure attive per contenere problemi di questo tipo e stiamo indagando gli effetti a lungo termine delle modifiche apportate alle infrastrutture per evitare che accada di nuovo. Stiamo esaminando ogni log per capire se si sono verificati abusi o se qualcun altro ha effettuato l’accesso alle informazioni.

La posizione del social network

Il social network è intervenuto sulla questione con un comunicato firmato da Pedro Canahuati (VP Engineering, Security and Privacy) in cui vengono elencati gli strumenti adottati per proteggere le password degli utenti e i tool offerti alla community di iscritti per la protezione dell’account.

Come parte di una revisione di routine sulla sicurezza, in gennaio abbiamo scoperto che le password di alcuni utenti sono state salvate in un formato leggibile nei nostri sistemi di storage interni. Questo ha catturato la nostra attenzione poiché i nostri sistemi di login sono progettati in modo da mascherare le password attraverso tecniche che le rendono non leggibili. Abbiamo risolto i problemi e come precauzione invieremo una notifica a coloro le cui password sono state salvate in questo modo.

Il social network sottolinea come non siano stati rilevati abusi e come al momento non vi siano prove relative all’accesso da parte di non addetti ai lavori.

Per essere chiari, queste password non sono state rese visibili a nessuno esterno a Facebook e non abbiamo trovato prove di abusi da parte dei nostri dipendenti né di accessi impropri.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • suc scrive:
    Aziende private Italiane ed enti pubblici fanno di peggio.
  • Filippo scrive:
    E ogni due per tre questi XXXXXXX rompono i XXXXXXXX che vogliono anche il mio numero di telefono.
    • Be&O scrive:
      Be dalla NSA cosa ci si può aspettare, non è che Facebook sia nato per le capacità, ma solo per le spinte governative, quindi non è che si vadano a complicare le cose, serve una password, sta li nel database, o mi tocca anche attendere che venga decrittata, sono risorse governative perse.
Fonte: Krebs on Security
Chiudi i commenti