Facebook ha reso noto che centinaia di milioni di password degli utenti sono state archiviate senza essere criptate all'interno dei propri server, una modalità che le rendeva visibili a migliaia di dipendenti del social network. Non sono state trovate prove di abusi di alcun tipo e comunque il problema è stato risolto. Ad ogni modo, Facebook ha voluto dare alcuni consigli agli utenti, tra cui cambiare le proprie credenziali di accesso a Instagram e Facebook Lite. La dichiarazione del social network segue la segnalazione del sito KrebsOnSecurity dedicato alle questioni di sicurezza informatica.
"Come parte di una revisione della sicurezza di routine a gennaio, abbiamo rilevato che alcune password utente venivano archiviate in un formato leggibile all'interno dei nostri sistemi di archiviazione dati interni. Questo ha attirato la nostra attenzione perché i nostri sistemi di accesso sono progettati per mascherare le password usando tecniche che li rendono illeggibili. Abbiamo risolto questi problemi e, per precauzione, notificheremo a tutti le password che abbiamo trovato memorizzate in questo modo", ha scritto Pedro Canahuati, vicepresidente degli ingegneri di sicurezza e privacy, in un comunicato. Secondo KrebsOnSecurity dal 2012 sarebbero stati coinvolti tra i 200 e i 600 milioni di utenti.
"Per essere chiari, queste password non sono mai state visibili a nessuno al di fuori di Facebook e non abbiamo trovato alcuna prova fino ad oggi che qualcuno abbia abusato internamente o vi abbia fatto un accesso improprio. Stimiamo che notificheremo centinaia di milioni di utenti di Facebook Lite, decine di milioni di altri utenti di Facebook e decine di migliaia di utenti di Instagram. Facebook Lite è una versione di Facebook utilizzata prevalentemente da persone in regioni con connettività inferiore", ha spiegato Canahuati. Secondo Facebook, non ci sono prove che le password in chiaro siano state esposte al di fuori della società, o che siano state utilizzate dai dipendenti per accedere agli account.
"In linea con le best practice sulla sicurezza, Facebook maschera le password delle persone quando creano un account in modo che nessuno in azienda possa vederle. In termini di sicurezza, 'hash' e 'salt' le password, incluso l'uso di una funzione chiamata 'scrypt' e una chiave crittografica che ci consente di sostituire in modo irreversibile le vostra password effettiva con un set casuale di caratteri. Con questa tecnica, possiamo verificare che una persona stia effettuando l'accesso con la password corretta senza dover effettivamente memorizzare la password in testo normale". Poiché gli utenti possono riutilizzare o perdere le loro password, Facebook ha creato alcune misure di sicurezza per proteggere gli account
Ad esempio, anche se una password viene immessa correttamente, il social network la tratterrà in modo diverso se rileva che viene immessa da un dispositivo non riconosciuto o da una posizione insolita. Le persone possono anche registrarsi per ricevere avvisi sugli accessi non riconosciuti. Facebook ha inoltre introdotto la possibilità di registrare una chiave di sicurezza fisica nel proprio account. Sebbene nessuna password sia stata esposta esternamente, è possibile modificare quelle di Facebook e Instagram a titolo puramente preventivo. Un ulteriore suggerimento è di attivare la verifica a due fattori, che consiste nella ricezione di un sms contenente un codice ogni qualvolta si esegue l'accesso.
Nessun commento:
Posta un commento