A Mark Zuckerberg non piace questo elemento. Anzi, meglio dire che non gli piace proprio questa giornata. Oggi Facebook è salita alla ribalta delle cronache per due scivoloni importanti, di fatto uno più grave dell’altro. Quello meno pesante, ma non per questo ritenuto più giustificabile, è relativo all’autenticazione a due fattori. Una misura di sicurezza fondamentale, che purtroppo il noto social network ha utilizzato anche per altri scopi meno nobili.

Come riportato da TechCrunch, oggi Facebook ha indirettamente ammesso di utilizzare i numeri cellulari associati alla modalità 2FA a fini pubblicitari. Il sospetto era sopraggiunto nei giorni scorsi, dopo che l’operato di due ricercatori universitari ha avuto risalto su Gizmodo, evidenziando il crescente uso di dati personali per le attività di profilazione. Era già noto come Facebook utilizzasse in tal senso nomi, date, interessi e contatti per mostrare pubblicità mirata, ma non ci si immaginava che ciò fosse stato esteso al proprio numero telefonico, considerato appunto che ne veniva caldeggiato l’inserimento per l’autenticazione a due fattori. Al momento Facebook non ha offerto reali rassicurazioni in merito ad un ritorno sui propri passi, limitandosi perlopiù a specificare che è possibile configurare il 2FA anche tramite mezzi diversi dal numero mobile. Una possibilità che, ben sottolineato da TechCrunch, è stata aggiunta però solo dallo scorso maggio.

È comprensibile, tutto sommato, che in questo momento Facebook non stia pensando approfonditamente alla vicenda two-factor. Perché il secondo fatto grave ha molta più precedenza in termini di risoluzione, coinvolgendo 50 milioni di utenti. Già: questa è la cifra coinvolta in una falla di sicurezza, che sfrutta la funzionalità “Visualizza come”. Normalmente essa permette di vedere come apparirebbe il proprio profilo agli occhi di un altro contatto, permettendo quindi di decidere cosa visualizzare e a chi. Il bug in questione metteva un qualsiasi malintenzionato in condizione di rubare l’account della vittima che ha utilizzato “Visualizza come” ottenendone i token d’accesso.

Facebook ha effettuato il logout automatico non solo dei 50 milioni di account specificatamente a rischio, ma anche di altri 40 milioni che hanno usato almeno una volta nell’ultimo anno la soprammenzionata funzione. Anche se le verifiche sull’entità del problema sono tutt’ora in corso, gli ingegneri software che si occupano della piattaforma hanno già individuato la sua radice nei cambiamenti di codice avvenuti nel 2017, principalmente legati all’upload di video ma con impatti pure per le caratteristiche di “Visualizza come”. Una situazione tutt’altro che piacevole da affrontare per Zuckerberg e soci, in un periodo in cui si stanno ancora leccando le ferite dagli scandali di Cambridge Analytica e delle interferenze russe, che nel 2016 hanno influenzato l’opinione pubblica sia nell’occasione del referendum sulla Brexit sia nelle elezioni americane che hanno portato alla vittoria di Trump.