Facebook, ecco come i dipendenti hanno avuto accesso a milioni di password degli utenti

Marco Ciotola

24 Marzo 2019 - 11:37

Tra i 200 milioni e i 600 milioni di utenti dal 2012 ad oggi sono stati oggetto di una simile violazione. Ecco come

Facebook, ecco come i dipendenti hanno avuto accesso a milioni di password degli utenti

Facebook ha avuto accesso a 600 milioni di password degli utenti. I dati, senza crittografia e visualizzabili quindi come testo normale, erano alla portata quotidiana di decine di migliaia di dipendenti dell’azienda.

A rivelarlo e rendere di dominio pubblico la circostanza è stato un report a firma Brian Krebs, giornalista specializzato in sicurezza informatica.

Preso atto della cosa, è stato lo stesso social a confermare il tutto tramite un post sul suo blog lo scorso giovedì, spiegando anche che provvederà nel corso delle prossime settimane a notificare la violazione a tutti i diretti interessati.

Sulla scia della notizia e della relativa conferma, le azioni Facebook hanno perso più dell’1% giovedì.

La commissione irlandese per la protezione dei dati, che amministra il regolamento generale sulla protezione dei dati dell’Unione europea - il cosiddetto GDPR - ha dichiarato di avera al vaglio il tutto e di essere “alla ricerca di ulteriori informazioni”.

Facebook, come i dipendenti hanno avuto accesso a milioni di password

600 milioni di utenti rappresentano una porzione significativa della base utenti di Facebook, pari a 2,7 miliardi di persone.

Il colosso di Mark Zuckerberg ha comunicato di avere nei piani una notifica della circostanza a tutti i diretti interessati a breve.

Da Menlo Park hanno provato a dare motivazioni più circostanziate alla violazione, contestualizzando l’accaduto come parte di una revisione della sicurezza di routine a gennaio:

“Abbiamo rilevato che alcune password utente venivano archiviate in un formato leggibile all’interno dei nostri sistemi di archiviazione dati. Questo ha attirato la nostra attenzione, perché i nostri sistemi di login sono progettati per mascherare le password usando tecniche che li rendono illeggibili. Abbiamo risolto questi problemi e, per precauzione, notificheremo a tutti le password che abbiamo trovato memorizzate in questo modo”.

Il post sul blog di Facebook non ha indicato il numero preciso di utenti interessati, riportato in misura indicativa però nel report di Brian Krebs, che quantifica gli interessati in un numero tra i 200.000 e i 600.000.

L’accaduto risale al 2012 secondo Krebs. Un ingegnere di Facebook, Scott Renfro, viene più volte citato dal giornalista. Secondo Renfro la società non avrebbe mai riscontrato alcun uso improprio dei dati in questione, e “non vi era alcun rischio effettivo derivante da questo”.

Facebook è ora perennemente sotto il controllo di diverse Authority, visti i recenti scandali relativi alla privacy e alla sicurezza che hanno provocato veri e propri terremoti nel settore e portato a invocare rivoluzioni in ambito di protezione dei dati personali su internet.

Eppure gli scandali non hanno intaccato in modo significativo il numero di utenti giornalieri, che sono aumentati lo scorso trimestre malgrado la campagna diffusa da parte di molti critici del sociel network, che hanno spinto gli utenti a cancellare i propri account.

La circostanza innescherà indubbiamente molte polemiche attorno al cosiddetto GDPR. Sul fronte legislativo, infatti, c’è ambiguità su come definire con precisione i “livelli appropriati di sicurezza”, ma è più che probabile che password archiviate internamente e accessibili a un gran numero di dipendenti costituiscano una palese violazione.

Se l’incidente si fosse protratto fino al 2012, la società sarebbe costretta a portare avanti anche diverse indagini sul modo in cui le password potrebbero essere state utilizzate impropriamente da figure interne all’azienda.

Anche se il colosso di Menlo Park ha dichiarato nel post sul suo blog che “non esiste nessuna prova che certifichi l’utilizzo improprio di questi dati”, sarà difficile per l’azienda capire se o come qualche dipendente abbia impropriamente utilizzato una password in circostanze esterne l’ambito lavorativo.

Iscriviti a Money.it