Facebook e Instagram, perché è meglio cambiare subito la password
Le piattaforme di Zuckerberg hanno conservato in modo non protetto centinaia di milioni di chiavi d’accesso
Prendete tutti i consigli per avere una password inviolabile: che sia complessa, non ovvia, non la solita sequenza di numeri o la propria data di nascita. E poi, che venga conservata in modo sicuro, rimanga nascosta, lontana da occhi indiscreti. Ecco, ora immaginate di ignorare completamente il secondo consiglio, di lasciarla in bella vista sulla scrivania del vostro ufficio, sul tavolo del bar o della mensa aziendale, dove chiunque possa leggerla, annotarla, farne l’uso che ritiene. Subito, oppure più avanti.
Oltre 9 milioni di ricerche interne
Per quanto possa sembrare paradossale, grosso modo è quanto è successo in casa Mark Zuckerberg: centinaia di milioni – sì, avete letto bene – di chiavi di accesso di utenti Facebook e Instagram (fino a 600 milioni, secondo alcune fonti) sono state conservate in «plain text». In un elenco simile a un foglio di Word, a un elenco testuale, liberamente consultabile e ricercabile da oltre 20 mila impiegati della piattaforma. Anzi, più che ricercabile molto ricercato: come scrive il blog Krebsonsecurity.com, quei dati sono stati spulciati almeno 9 milioni di volte. Ufficialmente da 2 mila ingegneri, ma chiunque tra gli abitanti di quel grande paese che sono i dipendenti dei due social, poteva andare a mettere il naso nelle credenziali di amici, conoscenti, fidanzati, vip. Centinaia di milioni è un numero titanico, da caccia grossa.
Acqua sul fuoco
L’inghippo è stato ammesso dalla stessa Facebook che in un post firmato da Pedro Canahuati, vicepresidente per la sicurezza e la privacy, parla nelle prime righe di «some user passwords», alcune password, con un eufemismo riduttivo in bilico tra l’esilarante e l’assurdo. Più in giù cita che sono centinaia di milioni. Canahuati assicura che il problema è stato risolto, che sponda Instagram è limitato a decine di migliaia di utenti, che manderà una notifica agli iscritti coinvolti nella vicenda. Dunque, tendenzialmente, gli altri possono stare tranquilli.
Nessun abuso, almeno a oggi
Però ci sono due passaggi da considerare, entrambi contenuti nello stesso post. Il primo: «A oggi non abbiamo trovato prova che qualcuno internamente abbia abusato o avuto accesso in modo improprio» a quelle informazioni. A oggi, domani chissà cosa può venire fuori. Anche perché gli affari interni di Facebook non sono né la Cia, né l’Fbi. Inoltre, con un altro capolavoro di ellissi logica, senza collegare l’episodio avvenuto a un suo ragionevole farmaco, nell’ultimo paragrafo il social network ci indica, ci suggerisce «alcuni passi che puoi fare per tenere il tuo account al sicuro». Il primo, quello più importante: cambiare la tua password nelle impostazioni di Facebook e Instagram. Evitare di utilizzare la stessa password tra servizi differenti.
Un pasticcio dietro l’altro
Meglio seguire il consiglio, anche se dato in modo indiretto, quasi sibillino. Cambiate le password. Anche perché, è la stessa Facebook a lasciarlo intuire, magari le vostre chiavi d’accesso a Instagram non sono state coinvolte (erano solo decine di migliaia, ricordate?). Ma se avete utilizzato le medesime per le due piattaforme, potrebbero rientrare in quei centinaia di milioni, incrementando la conta dei danni. E poi, con tutti i pasticci che stanno scoppiando in casa Zuckerberg (a settembre, giusto per fare un esempio, gli hacker sono riusciti a rubare i dati di 29 milioni di account), la prudenza sembra ormai non essere mai troppa.
