Facebook bug, i tuoi dati in mano agli sciacalli

Symantec ha rilevato un bug nel processo di autenticazione di Facebook. Le applicazioni a cui concediamo accesso al nostro profilo possono trasferire questo privilegio ad altri. Risolto l'aspetto tecnico, ci sono ancora nodi da sciogliere.

Pubblicato il 11 maggio 2011 da Valerio Porcu

Facebook ha messo a rischio per anni i dati dei propri utenti. Un incidente, dovuto a un bug, ha infatti concesso, ad agenzie pubblicitarie e sviluppatori di applicazioni, l'accesso ai dati personali degli iscritti, anche se questi ultimi avevano deciso di rendere tali dati riservati.

Gestione dei permessi

Le informazioni compromesse riguardano ogni aspetto di Facebook, dalle fotografie alla chat. Secondo Symantec, che ha scoperto il problema, l'unica nota positiva è che le terze parti potrebbero non aver realizzato di avere tra le mani un simile tesoro.

Token di accesso

Più del dettaglio il problema nascerebbe dalle applicazioni, come per esempio i giochi. L'utente le "autorizza" a interagire con il proprio profilo per usarle. A questo punto lo sviluppatore ha accesso ai dati personali, grazie a una chiave digitale detta token. Una sorta di "chiave di scorta" al proprio account che l'utente dà all'applicazione; quest'ultima così potrà pubblicare post sul profilo dell'utente, e compiere altre azioni in sua vece.

Accesso al profilo, interfaccia utente

Proprio questo elemento potrebbe essere finito accidentalmente nei circuiti pubblicitari, ed essere usato ancora oggi a insaputa degli utenti. "Stimiamo che negli ultimi anni centinaia di migliaia di applicazioni potrebbero aver trasferito milioni di token di accesso a terze parti", scrive Nishant Doshii sul blog ufficiale di Symantec.

A questo punto l'applicazione chiede i permessi aggiuntivi. Un processo che molti di voi avranno visto personalmente. I dati però possono "filtrare" e andare oltre i limiti imposti dall'utente e da Facebook: se l'applicazione usa le API di Facebook più vecchie – ma ancora attive – e alcuni parametri non sono corretti (vedi immagine), infatti, la chiave d'accesso al profilo personale potrebbe passare dall'applicazione a terze parti (software di analisi, agenzie pubblicitarie).

Questo accade senza che lo sviluppatore dell'applicazione ne sia necessariamente consapevole. I dati si trovano infatti in un URL, trasferito come dato di riferimento con i network pubblicitari. Per esempio, se un'applicazione mostra sulla propria pagina annunci pubblicitari, la "chiamata" dell'adserver rende accessibile il token dell'utente".

Parametri nelle politiche di accesso

Forse l'aspetto tecnico è troppo complesso per la maggior parte degli utenti, ma è importante capire che se negli ultimi anni avete usato una o più applicazioni, allora uno o più network pubblicitari potrebbero avere accesso totale alle vostre informazioni personali.  

Passaggio del token a terze parti

Le modifiche apportate da Facebook hanno risolto il problema, ma non hanno bloccato l'accesso alle vecchie API. "Facebook oggi usa lo standard OAUTH 2.0 per l'autenticazione degli utenti (più sicuro, NdR). Tuttavia sono ancora accettati vecchi schemi di autenticazione, usati da centinaia di migliaia di utenti. Quando un utente visita app.Facebook.com/appname, Facebook invia all'applicazione una piccola quantità di dati, necessari per identificare l'utente, così che l'applicazione possa personalizzare la pagina di arrivo", spiega infatti Doshii. Solo cambiando la password – e così resettando i permessi –si possono quindi avere più certezze.

Impossibile infine sapere quanto sia esteso il danno, proprio perché trattandosi di un bug non è dato sapere se i network pubblicitari hanno realizzato di avere accesso a migliaia di profili personali, e in caso affermativo se hanno deciso di usare tali informazioni. Ma è improbabile che un network pubblicitario scovi un tale tesoro e decida di non sfruttarlo. 

NEWS