Facebook ha lasciato in chiaro 'centinaia di milioni' di password per errore

Facebook ha confermato giovedì di aver conservato "centinaia di milioni" di password utente in "formato leggibile" — ovvero, ingegneri e altri dipendenti che hanno accesso ai sistemi interni dell'azienda potevano vedere le password in chiaro.

In un comunicato stampa, il social network ha dichiarato di aver scoperto il problema durante una "revisione di sicurezza di routine a gennaio." La notizia dell'errore è stata diffusa inizialmente dal giornalista indipendente specializzato in sicurezza Brian Krebs.

"Per essere chiari, queste password non sono mai state visibili a nessuno fuori da Facebook e non abbiamo riscontrato prove a oggi che qualcuno ne abbia abusato o le abbia utilizzate impropriamente," ha scritto Facebook. "Riteniamo di dover notificare centinaia di milioni di utenti di Facebook Lite, decine di milioni di altri utenti Facebook e decine di migliaia di utenti Instagram. Facebook Lite è una versione di Facebook usata soprattutto da chi vive in regioni con connessione più debole."

Stando a quanto riportato da Krebs, sono state colpiti tra i 200 e i 600 milioni di persone, e alcune password sono state trovate in archivi che risalgono al 2012.

Quando abbiamo contattato via email Facebook per un commento, un portavoce ci ha rimandati al comunicato stampa.

Una persona che lavora attualmente per Facebook, ha detto a Motherboard che la situazione "fa schifo."

"Ovviamente, 'in genere' non conserviamo [le password] in chiaro," ha detto a Motherboard l'impiegato, che ricopre una posizione tecnica. "Ci sono capitati casi unici e strani che abbiamo risolto e discusso." Motherboard ha garantito a diverse fonti l'anonimato, per poter parlare in modo più candido dell'incidente di sicurezza.

"Non sarebbe mai dovuto succedere," hanno detto.

Un ex impiegato tecnico di Facebook ha detto a Motherboard "La mia prospettiva è che non è stato intenzionale."

"Sembra proprio un errore di registrazione. Questo genere di problemi, specialmente se protratti, possono richiedere parecchio tempo per essere scoperti," hanno aggiunto. "Se un'[organizzazione] protegge l'accesso ai dati degli utenti, e viene registrato un campo imprevisto, può passare inosservato per parecchio tempo, perché le persone non gestiscono dati puri."

Un altro ex impiegato di Facebook ha detto a Motherboard "questo caso specifico non era di certo noto a tutti. Sarebbe stato uno scandalo anche per chi lavora qui. Sarebbe stato aggiustato subito, appena scoperto."

In genere, le aziende tengono le password al sicuro tramite crittografia — hash e salt — nei loro database. Si tratta di due processi che codificano le password in modo da rendere difficile leggerne le forma originale, anche per qualcuno che ne ruba l'hash. Facebook non è l'unico colosso a compiere un errore da principianti in questo senso. Di recente, sia GitHub che Twitter hanno ammesso di aver lasciato esposte in chiaro le password dei propri utenti all'interno del sistema.

Se avete paura per la sicurezza del vostro account Facebook, leggete la nostra guida su come controllare che non abbia subito attività sospette.

Questo articolo è apparso originariamente su Motherboard US.