Nuovo mea culpa di Facebook: le password conservate senza essere criptate
22/03/2019 di Gaia Mellone
La Privacy continua a imbarazzare Facebook: a pochi giorni dall’anniversario dello scandalo Cambridge Analytica, ora il social network ammette una nuova falla. Milioni di password d’accesso al social network sarebbero state conservate nelle banche dati senza essere prima criptate. Ma da Menlo Park rassicurano che erano visibili «solo a persone interne all’azienda».
Nuovo mea culpa di Facebook: le password conservate senza essere criptate
Durante un controllo di routine, lo staff di Facebook si è accorto di aver commesso un errore: aver conservato da gennaio le password di milioni di profili in chiaro, cioè non criptate, sopratutto di utenti che utilizzavano la versione Facebook Lite, utilizzata «prevalentemente da persone in regioni con connettività inferiore».
Il numero preciso di profili coinvolti non è stato chiarito, ma nella nota ufficiale pubblicata si parla di centinaia di milioni di utenti che riceveranno la notifica che suggerisce la modifica. Nella stessa nota firmata da Pedro Canahuati, Vicepresidente della sezione Engineering, Security and Privacy, viene spiegato che l’errore era dovuto ad un bug, prontamente risolto non appena il problema è stato individuato. «Non c’è nulla di più importante per noi che proteggere le informazioni delle persone – si legge nella nota divulgata – e continueremo a fare miglioramenti come parte dei nostri sforzi di sicurezza in corso su Facebook». Nel comunicato di mea culpa si legge anche che le password in chiaro erano visibili solo alle persone interne alle aziende, e che non è stato rilevato alcun furto di dati.
Come Facebook protegge le password
Nella stessa nota vengono chiariti i metodi di archiviazioni delle password. «In linea con le best practice sulla sicurezza, Facebook maschera le password delle persone quando creano un account in modo che nessuno in azienda possa vederle» si legge nel comunicato, dove viene spiegato che nel momento dell’archiviazione la password effettiva viene sostituita «in modo irreversibile con un set casuale di caratteri. Con questa tecnica, possiamo verificare che una persona stia effettuando l’accesso con la password corretta senza dover effettivamente memorizzare la password in testo normale». Un modo per nascondere ad aziende terze i dati e sopratutto proteggerli da eventuali attacchi hacker.
(Credits immagine di copertina: © Omar Marques/SOPA Images via ZUMA Wire)