Non c’è pace per gli utenti di Facebook: secondo quanto riportato dagli stessi programmatori del social network, nei giorni scorsi sarebbe stata scoperta, e successivamente corretta, una grave falla di sicurezza. Tale falla era legata alle API per le applicazioni di terze parti, che stanno diventando sempre più numerose sul social network di Zuckerberg.
La falla è stata rilevata dagli esperti della Symantec, nota azienda leader nel settore della sicurezza informatica, la quale ha precisato che a causa di questa falla sono “fuoriusciti” milioni di “token“, ovvero le chiavi che le applicazioni di terze parti utilizzano per accedere ai profili degli utenti, e di conseguenza alle loro informazioni personali. Secondo quanto riportato da Symantec sul suo blog, nel solo mese di Aprile 2011, ben 100000 (centomila) applicazioni sono state coinvolte in questa fuga di token. Ma la cosa più grave è che, molto probabilmente, questa falla era presente già da diverso tempo, precisamente dal 2007, quando Facebook ha introdotto il supporto alle applicazioni di terze parti e di conseguenza ha diffuso le API per il loro sviluppo.
Consideriamo però cosa accade, in concreto, ai malcapitati utenti incappano in questo tipo di falla: l’applicazione lanciata dall’utente consente a Facebook di inviare alla stessa una serie di dati del profilo (Paese, età, e altri dati non identificativi ma utili a personalizzare la pagina in base alla provenienza dell’utente), dopodichè reindirizza l’utente sulla solita pagina che permette allo stesso di scegliere o meno se dare accesso ai propri dati personali all’applicazione. E’ in quel momento che l’applicazione, sfruttando il bug di sicurezza, può avere accesso ai token che contengono informazioni riservate dell’utente, come foto, log di chat, messaggi personali e quant’altro. Va detto che non sempre tali applicazioni sono “coscienti” delle informazioni “aggiuntive” ricevute, ma non è raro trovare alcune di esse che si appoggiano ad advertisers (servizi pubblicitari) e servizi di analisi e statistiche che poi rivendono i dati raccolti alle aziende.
In tutto questo caso, chi ci perde è ovviamente l’utente, che rischia di ritrovare i propri dati finire in qualche banca dati di qualche azienda o agenzia pubblicitaria, con conseguenze facilmente immaginabili.
Facebook ha comunque fatto sapere di aver risolto questa falla, utilizzando un sistema di autenticazione più sicuro, ma ancora una volta lascia parecchi dubbi sulla sua politica di protezione della privacy dei propri utenti.
