Grave bug in Facebook permette di svelare tutte le informazioni personali e di violare la privacy
Un bug di Facebook mette a rischio la privacy degli utenti: lo dice Symantec. A rischio i dati scambiati tra account personale e applicazioni. Il social network afferma di aver risolto, ma qualche dubbio resta.
Un bug di Facebook ha messo in pericolo la privacy degli utenti per anni. La notizia è stata svelata dall’azienda di sicurezza informatica Symantec. La falla ha origine dalle applicazioni Facebook. In pratica, i dati inseriti nelle stesse possono essere raccolti liberamente, anche se profilo e informazioni personali sono marcati come riservati.
Il tutto funziona così: durante il processo di autenticazione dell’applicazione, i dati scambiati tra utente e software possono subire una triangolazione ed essere smistati ad altri, come agenzie pubblicitarie o simili. Questa “raccolta” agisce su ogni lato di Facebook: foto, chat, post in bacheca, link e quant’altro divulghiamo tramite il famoso social network.
Symantec tende però a precisare che non tutti potrebbero essersi accorti dell’enorme potenziale informativo a disposizione: una parziale buona notizia per la privacy del popolo della Rete. Come funziona il processo di acquisizione dati? Quando avviene la connessione tra profilo e applicazione, a permesso concesso lo sviluppatore accede ai dati personali grazie a una codifica digitale, chiamata genericamente “access token”. Il token di accesso ha il “permesso” di interagire con l’account utente e di pubblicare le varie informazioni in modo automatico. E qui nasce il problema: informazioni generate e recuperate in questo modo potrebbero essere finite “accidentalmente” in mani terze. Se l’applicazione infatti usa le vecchie (ma ancora attive) API Facebook, limiti e permessi aggiuntivi vengono tranquillamente bypassati e distribuiti. Symantec precisa che i dati deviati a terzi si aggirano su vari milioni.
Facebook comunica che il problema è stato risolto, ma l’accesso alle vecchie API è ancora attivo: i vecchi metodi di autenticazione sono ancora accettati, nonostante la piattaforma disponga oggi dello standard OAUTH 2.0, sistema che rende più forte il comparto sicurezza informatica. Ora bisognerà capire quanto sia esteso il danno. Una cosa è certa: chiunque riuscirà a mettere le mani su questa miniera di informazioni la userà a dovere, in barba a qualsiasi etica professionale.
Autore: Paolo De Feo
- Articolo precedente Angry Birds versione web disponibile sul Chrome Web Store. Caratteristiche e novità
- Articolo successivo PlayStation Network online funzionante tra qualche giorno. Date possibili in Italia