Gli ultimi tempi hanno visto spesso Facebook sulla graticola per questioni di sicurezza, spesso dovute a bug sfuggiti al controllo. Anche oggi purtroppo il social network di Mark Zuckerberg è tornato alla ribalta per un fatto del genere, fortunatamente all’apparenza senza conseguenze. Ciò però non ne riduce la gravità: sono state ritrovate centinaia di milioni di password salvate nei sistemi interni come testo normale, prive di qualsiasi metodo di codifica.

La scoperta è avvenuta a gennaio, durante uno dei controlli periodici effettuati dagli ingegneri software di Facebook. Il post ufficiale di spiegazione sostiene che, come da prassi per qualsiasi servizio online e specialmente di grandi dimensioni, vengono prese di norma tutte le precauzioni possibili per proteggere le password da possibili attacchi malevoli, applicando più tecniche di camuffamento e crittografia. La password creata dall’utente viene convertita in una stringa univoca casuale: la medesima operazione viene effettuata al login, cosicché il sistema è in grado di confrontarla con la stringa memorizzata e confermarne la correttezza anche senza avere accesso alla forma in solo testo. Questo meccanismo non sembra però aver funzionato completamente, dato che le password venivano salvate come testo normale in alcune aree dei server di Facebook.

Dal social rassicurano: prima del rilevamento, nessun loro impiegato aveva mai avuto o effettuato accesso a tali aree e non sono state rinvenute prove di violazioni esterne che potessero portare ad una fuga di password, pericolosissima considerando le cifre menzionate ad inizio articolo. Il problema è stato corretto, insieme ad altre anomalie potenzialmente impattanti al medesimo modo. Alla luce della situazione ritenuta sicura, Facebook non procederà ad un reset massivo delle password ma si limiterà ad informare via email gli utenti impattati di quanto accaduto. Si parla di centinaia di milioni di utilizzatori dell’app Facebook Lite destinata soprattutto ai mercati emergenti (è comunque disponibile anche in Italia, come alternativa più leggera per gli smartphone di fascia bassa), alcune decine di milioni della versione classica e qualche decina di migliaia di utenti Instagram.

A prescindere dalle conseguenze mitigate, però, si rivela un’altra spiacevole situazione che contribuisce a porre agli utenti importanti interrogativi sulla sicurezza dei propri dati su Facebook. Il rapporto di fiducia si è incrinato, fatto che Zuckerberg stesso ha riconosciuto nel preannunciare lo sviluppo di una piattaforma di messaggistica condivisa e codificata tra i vari servizi del gruppo. Ma si parla di un percorso lungo, potenzialmente di anni: comprensibile non essendo affatto un’operazione triviale sul piano tecnico, non aiuta certo a rassicurare gli animi. Come si suol dire in terra anglosassone, the sooner, the better.