Facebook corregge una grave falla di sicurezza: i dati di milioni di utenti nelle mani dei pubblicitari?
Facebook ha fatto sapere di aver riparato una falla di sicurezza molto seria legata alle API per le applicazioni di terze parti. La falla, scoperta dai laboratori Symantec, ha permesso la fuoriuscita di milioni di token dal sito. Questi token, sono le “chiavi” usate dalle applicazioni per accedere alle informazioni presenti nei profili di Facebook (post in bacheca, foto, ecc.), e quindi potrebbero aver spinto i dati di milioni di utenti nelle mani di pubblicitari e società inserzioniste sulle pagine del celebre social network.
Nishant Doshi di Symantec ha scritto sul blog dell’azienda: “Secondo le nostre stime di aprile 2011, circa 100.000 applicazioni sono state coinvolte da questa fuga di dati. Calcoliamo che, nel corso degli anni, centinaia di migliaia di applicazioni avrebbero potuto inavvertitamente cedere token di accesso a terze parti”. Questo, tradotto in parole povere, significa che da quando Facebook nel 2007 ha introdotto le applicazioni (e di conseguenza le API per il loro sviluppo) questa falla è sempre stata presente.
Ma come sono trapelati questi token di accesso? Secondo Symantec, anche se ora Facebook usa il rigido sistema di autenticazione OAUTH2.0, molte applicazioni hanno continuato a sfruttare sistemi più datati e vulnerabili. In particolar modo, le applicazioni incriminate sarebbero state quelle contenenti i parametri di redirect “return_session=1″ and “session_version=3” (immagine sotto).
Quando un utente visita la pagina di un’applicazione – fanno sapere dall’azienda del Norton – Facebook prima invia all’applicazione una serie limitata di informazioni sull’utente (Paese, età, ecc.) e poi reindirizza quest’ultimo sulla classica pagina per dare l’autorizzazione alla “app” di accedere al profilo: la comunicazione involontaria di dati agli inserzionisti sarebbe avvenuta proprio in questo frangente, dopo l’invio di una richiesta http da parte di Facebook nella quale sarebbero stati presenti i token.
Questo vuol dire che tutti i nostri dati sono finiti nelle mani dei pubblicitari? Non necessariamente. Come detto in precedenza, la falla “potrebbe aver spinto i dati di milioni di utenti nelle mani di pubblicitari e società inserzioniste sulle pagine del social network” ma non è ancora chiaro se e come quest’ultima sia stata sfruttata.
Per sentirsi più protetti, gli utenti di Facebook possono comunque cambiare la password del proprio account e resettare così i token. Facebook, dal canto suo, tranquillizza tutti dicendo che non risultano comunicazioni di dati sensibili ad aziende terze e si tutela per il futuro obbligando tutte le applicazioni ad adottare il sistema di autenticazione OAUTH2.0.
Chissà cosa ne penserà Julian Assange di questa nuova “disavventura” del social network di Mark Zuckerberg.