Jumping Jack Flash weblog

Ecco come Facebook ha sottratto (e pubblicato) le password di migliaia di utenti

Posted in Uncategorized by jumpjack on 13 maggio 2011

E’ notizia di queste ore che, a causa di un errore di progettazione, Facebook abbia inavvertitamente reso pubbliche le password di migliaia di utenti ignari. Anche se Facebook afferma che adesso l’errore è stato corretto e non è più possibile sfruttarlo, ormai il danno è fatto: su Internet circola liberamente un file contenente queste password, e chiunque può scaricarlo e accedere agli account di Facebook di tutti questi utenti, se ancora non hanno provveduto a cambiare la password del loro profilo Facebook.

Ma questa è solo la punta dell’iceberg. Oltre a perpetrare la più clamorosa truffa legalizzata agli utenti ignari, inducendoli a fare qualcosa che per anni tutti gli utenti di Internet si sono ben guardati dal fare, cioè registrarsi con proprio nome e cognome reale e fornire dati personali come data di nascita, titolo di studio e amicizie, Facebook si è spinta oltre, e lo ha fatto fin dall’inizio, sotto gli occhi di tutti: ha raccolto migliaia di password degli account di e-mail dei suoi utenti. E lo ha fatto in maniera semplicissima, e immediata: al momento della registrazione al servizio:

Questa pagina apparentemente innocua nasconde infatti un abile trucco di “social engineering“, cioè induce chi la utilizza a inserire informazioni riservate senza rendersene conto. Osservate bene:

Proprio così! Al momento della registrazione, Facebook non chiede di specificare un classico “nome utente”, ma di inserire il proprio indirizzo e-mail. Subito dopo invita a creare una password per Facebook. E qui scatta l’imbroglio: inserendo la richiesta di password subito sotto quella della mail, spinge l’utente a credere di dover inserire la password della propria mail, ma è del tutto falso: non è necessario, anzi è del tutto sconsigliato, usare per Facebook la stessa password della propria email!

Ma l’imbroglio non si ferma, continua nelle pagine di registrazione successive:

Facebook dichiara esplicitamente che per completare la registrazione è necessario accedere alla propria casella di posta, e fornisce, molto gentilmente, anche un pulsante per accedervi immediatamente.

E la truffa continua ogni giorno, quando Facebook vi fa credere che la vostra mail e la password di Facebook debbano essere sempre abbinate:

Qualche tempo fa premendo il pulsante “accedi alla tua mail” nella pagina di registrazione compariva una finestra di Facebook (quindi non de proprio provider di posta elettronica) che invitava esplicitamente a inserire i dati del proprio login di posta elettronica per accedere ai propri messaggi; una nota a margine specificava “Facebook non memorizza la vostra password“. Adesso pare che premendo il pulsante si venga invece rimandati alla pagina del proprio provider.

In ogni caso, ormai Facebook ha già raccolto le password private di migliaia di utenti, e l’ha fatto in maniera del tutto legale: gli utenti l’hanno immessa spontaneamente!

Fino ad ora l’unico problema era che così Facebook poteva accedere a piacimento alle caselle di posta di chiunque, e già questo era grave. Ora invece la situazione è diventata drammatica: Facebook ha inavvertitamente reso pubblico il proprio archivio di password! Archivio che non era scritto in codice, ma in chiaro, leggibile immediatamente da tutti! Adesso chiunque ha accesso a questo archivio puo’ accedere alle email personali di tutti quelli che hanno inserito su Facebook la password della propria email!

Ma non è ancora tutto: alcuni utenti usano la stessa password non solo per Facebook e la posta, ma anche per l’accesso ai servizi di hosting per pubblicare i propri siti su internet: il risultato è che ora chiunque può accedere come amministratore ai loro siti, modificarli a piacimento, e leggerne i dati. Se si tratta di siti di e-commerce che permettono il pagamento tramite di credito, il problema diventa di portata enorme.

Ma è tutto legale: Facebook non ha infranto nessuna legge. La infrangerà solo chi userà quelle password per usi illeciti.
Si rammenta che l’accesso indebito a sistemi informatici non di propria appartenenza è punibile con fino a due anni di reclusione.

Social Network o Social Engineering?

L’aggettivo “social” si sta diffondendo a macchia d’olio da quando esiste Facebook, come se l’avesse inventato lui, ed ha sempre connotazione positiva: sociale = fichissimo è un binomio ormai ben impresso nella mente di molti.

Ma esiste anche un aspetto negativo del “social”: il social engineering. Si tratta di una tecnica utilizzata da persone senza scrupoli per carpire informazioni sensibili alle persone, senza che queste ne siano consapevoli: in sostanza, gli rubano informazioni, ma anzichè usare la forza bruta utilizzano la persuasione per farsi consegnare spontaneamente i dati.

Pare incredibile, ma nei decenni scorsi, agli albori dell’informatica e della telematica, per fare una telefonata gratis bastava, negli USA, chiamare il centralino facendo lo “zero” e lamentando l’impossibilità e allo stesso tempo l’urgenza a comporre un numero, per essere connessi al numero desiderato, così come per sapere se una persona risiedeva o meno in un albergo… bastava chiederlo alla reception! Cose impensabili oggi, ma normalissime allora.

Oggi i metodi di social engineering sono più raffinati, e adottano la cosiddetta tecnica del phishing, che consiste nell’inviare a migliaia di utenti finte mail provenienti da banche: le mail dicono che l’account è stato bloccato per degli illeciti, e per sbloccarlo bisogna cliccare un link della mail… che rimanda a una pagina apparentemente identica a quella della banca, ma che immancabilmente è un sito russo che raccoglie le password di utenti di tutto il mondo!

Altre volte arrivano mail che parlano di fantomatiche vincite, accrediti e premi; tutte cose che, per essere riscosse, richiedono di inserire username e password della propria banca…

Facebook ha fatto un grosso salto di qualità, nel convincere le persone che stava facendo qualcosa di buono e utile per loro, quando invece lo stava facendo per sè: “Registratevi con nome e cognome e data di nascita reali, e ritroverete i vostri amici d’infanzia!”; e così mezzo miliardo di persone scrivono da anni tutte le loro informazioni personali, inclinazioni politiche, preferenze religiose, relazioni amorose, preferenze sugli acquisti, spostamenti, informazioni sulle vacanze, ecc… sui computer dell’azienda-Facebook. C’è anche chi ha avuto la casa svaligiata per aver scritto su Facebook in quali giorni sarebbe stato fuori casa (ma questa è un’altra storia).

Ma la mossa geniale è stata indurre la gente a credere che la password della propria posta e quella di Facebook sono la stessa cosa, legando così a doppia mandata, di nascosto e per anni l’azienda-Facebook alle mail personali, nonchè ai siti personali, di mezzo miliardo di persone.

Sfortunatamente una piccola disattenzione dei programmatori di Facebook ha scoperchiato il vaso di Pandora!

Altre notizie:
http://technews.it/HiSfB
http://technews.it/BgePc

NOTA: L’autore di questo articolo ha avvisato del problema alcuni dei provider interessati (Alice, Hotmail, Libero) e vari giornali e telegiornali (TG1, TG La7, Corriere della Sera) nelle prime ore della mattinata, ma ad ora, 13:20, la notizia non risulta presente da nessuna parte oltre qualche blog.

Una Risposta

Subscribe to comments with RSS.

  1. […] Ecco come Facebook ha sottratto (e pubblicato) le password di migliaia di utenti […]


Puoi inserire un commento qui sotto; diventerà visibile dopo la moderazione dell'amministratore

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger cliccano Mi Piace per questo: