Facebook ha conservato per anni le password in chiaro di centinaia di milioni di utenti
La prima cosa da fare oggi per gli utenti di Facebook e Instagram che tengano alla propria privacy è collegarsi ai social network e cambiare le proprie password di accesso ai sistemi. E se queste password sono utilizzate in comune con altri servizi, profili e prodotti, considerare di reimpostare anche gli accessi a questi ultimi. Nelle scorse ore il social network blu ha infatti ammesso di aver stoccato per anni sui propri server centinaia di milioni di password in chiaro, ovvero accessibili e perfettamente visibili ai dipendenti del gruppo. La nota è di ieri e segue la scoperta del giornalista investivativo Brian Krebs che, parlando in via non ufficiale con alcune fonti interne proprio alla società, ha rivelato che il numero di password finite oscilla tra i 200 e i 600 milioni.
Cosa è andato storto
Facebook in teoria non dovrebbe conoscere le password utilizzate dai suoi utenti per accedere al social network: nel sistema progettato dalla società le parole chiave vengono infatti registrate in una versione crittografata; quando poi si accede al social immettendo l'originale nell'apposita casella, il sistema di crittografia riconverte la password volo per confrontarla con quella registrata sui server, dando il semaforo verde se i risultati corrispondono. Il problema — si legge sempre sul blog di Krebs — è che alcune sotto app della società non si sarebbero comportate nello stesso modo per via di errori nello sviluppo.
Chi è coinvolto
La società sta ancora tentando di capire quanto sia esteso il danno. Nel frattempo ha parlato di centinaia di milioni di utenti di Facebook Lite (la versione dell'app dedicata agli smartphone meno potenti, riconoscibile anche dall'interfaccia semplificata e dall'icona a colori invertiti), di decine di milioni di utenti Facebook e di decine di migliaia di utenti Instagram, promettendo di inviare una notifica a tutti gli account le cui password vengono scoperte all'interno di queste banche dati.
Cosa fare
Facebook ha assicurato che le password esposte non hanno mai lasciato i server della società, ma stando alle fonti di Krebs sono comunque finite sotto gli occhi di migliaia di dipendenti. Le probabilità che questi ultimi vogliano utilizzare le informazioni a scopo malevolo sono basse, ma cambiare per precauzione la propria password di accesso può essere comunque una buona idea. Abilitare l'autenticazione a due fattori per Facebook e Instagram infine è un'altra mossa che rafforza la sicurezza degli account in fase di accesso (ma che espone il proprio numero di telefono alle ricerche altrui).