Indubbiamente, il tour europeo iniziato da Zuckerberg per rassicurare le istituzioni continentali sulla privacy in Facebook non procede nel più facile dei modi, a causa di due nuovi scandali in tema di riservatezza personale, che hanno coinvolto i circa 2 miliardi di utenti della sua piattaforma social. Basterà l’iniziativa “Whitehead” a far cambiare idea sulla sicurezza degli iscritti?
L’importante periodico Bloomberg, nella sua edizione online, ha appena rendicontato di una gravissima scoperta fatta dalla security house californiana UpGuard che, su un server cloud di Amazon (uno dei leader nel settore dei cyberlocker e dei servizi web), erano conservati in chiaro ben 146 GB di dati personali tratti da Facebook, suddivisi in due elenchi (datasheet) caricati online in chiaro da chissà quanto tempo.
L’archivio più grande, relativo all’applicazione di terze parti ” Cultura Colectiva”, conteneva 540 milioni di informazioni, con tanto di nomi account, ID Facebook, commenti, reazioni, e like apposti. Il successivo archivio, attribuibile all’app “At the Pool”, come se non bastassero gli elenchi di like, luoghi visitati, e gruppi, comprendeva anche 22 mila password che, a questo punto, andrebbero cambiate, in particolar modo qualora usate anche per e su altri servizi. Avvertita della situazione, Facebook ha collaborato con Amazon per mettere in sicurezza i dati gestiti dalla prima applicazione, laddove quelli della seconda erano già stati messi off-line il 3 Aprile, ed ha dichiarato che la piattaforma lavora sempre per proteggere i dati delle persone e che, nel caso specifico, vieta la “la memorizzazione delle informazioni di Facebook in un database pubblico“. Cosa che, però, del tutto evidente, è avvenuta lo stesso.
Assecondando il classico adagio secondo il quale spesso “piove sul bagnato“, il portale Business Insider – che ha seguito da vicino le peripezie dell’utente twitteriano e-Sushi – ha scoperto come Facebook – nelle verifiche richieste per aprire un nuovo account – abbia chiesto a diversi utenti di fornire la password della propria mail per confermare l’identità delle persone. Una volta emersa la cosa, ed arrivate le critiche dalla Electronic Frontier Foundation, che ha parlato di logiche assimilabili a un attacco di phishing, Facebook, al sito Daily Beast, si è giustificata prima osservando come quelle password non venissero memorizzate, e poi minimizzando con il fatto che la password veniva chiesta solo agli utenti i cui provider email non supportavano il protocollo OAuth. Fatto sta che il social, tramite i propri portavoce, ha posto fine alla vicenda rendendo noto che non richiederà più la password per la verifica dei nuovi account, essendosi accorta che non è il miglior modo per farlo.
Beccata col classico “dito nella marmellata”, passerà fosse inosservata l’iniziativa di Facebook varata in ottica di trasparenza con l’introduzione, su Facebook, Instagram, e Messenger, dell’opzione Whitehead: quest’ultima, intervenendo su alcuni parametri, disabilità la protezione Certificate Pinning, che rifiuta la connessione ai siti e ai servizi che non lucchettano il traffico dati con l’SSL, e permette il monitoraggio dello stesso, consentendo ai ricercatori di capire quali dati vengono trattati, in che modo, e di scovare persino eventuali bug e vulnerabilità.
Naturalmente, Facebook – conscia della pericolosità della novità per coloro che non fossero particolarmente esperti – ha spiegato che, quando l’app verrà testata con questo sistema, un banner in alto nell’app paleserà la cosa. A studio concluso, è naturalmente raccomandata la disabilitazione della Whitehead.