Giovedì 25 settembre il team di Facebook ha individuato una pesante falla in una delle aree del social network. Tramite un bug del codice che consente la funzione “Visualizza”, un soggetto esterno poteva intrufolarsi negli account, postare e spiare le bacheche delle vittime.
Dopo un lavoro incessante durato oltre 24 ore, i tecnici hanno risolto il problema, che ha impattato però su almeno 90 milioni di iscritti. La conseguenza principale, avvertita anche in Italia, è stata la disconnessione dei profili, con la necessità di digitare di nuovo email e password in proprio possesso, per tornare a governare status e messaggi. Niente di grave, per carità, anzi il numero è una goccia nel mare degli oltre 2 miliardi di persone attive sulla piattaforme mensilmente ma è comunque una fetta importante che, senza l’intervento tempestivo degli sviluppatori di Zuckerberg, avrebbe rischiato danni anche maggiori, dovuti a una violazione più profonda negli account.
Proprio per questo Facebook ha fatto sapere di non essere ancora in grado di confermare se il bug sia stato sfruttato da qualcuno e per quanto tempo.
Abbiamo appena avviato le indagini, quindi è presto per dire quali profili ci siano tra quelli interessati. Non sappiamo chi c’è dietro gli attacchi o dove sono basati. Stiamo lavorando sodo per ottenere più dettagli e aggiorneremo gli utenti al momento opportuno. Chi si ritrova un accesso scollegato è perché, probabilmente, rischiava di essere compromesso. Ripristineremo immediatamente i token quando ci sarà il dubbio che gli account possano essere sotto attacco hacker.
L’azienda di sicurezza informatica Barracuda ha rilasciato alcune dichiarazioni in merito alla violazione subita da Facebook del tono “Ogni nuova violazione dimostra ulteriormente che gli utenti devono preservare e proteggere i propri dati in cloud, perché i provider non lo fanno” e anche “servizi gratuiti come Facebook sono meno propensi a preoccuparsi della protezione dei dati degli utenti“.
Inoltre, ha indicato dei punti utili da attuare dopo la violazione a Facebook, anche da parte di chi non è stato coinvolto nella disconnessione dell’account. Eccoli:
- Eseguire il backup dei dati in un ambiente controllato. Questo permetterà di recuperare qualsiasi elemento cancellato o compromesso
- Utilizzare password diverse per tutti i servizi e, se possibile, sfruttare un gestore di password (ce ne sono tanti per smartphone)
- Abilitare l’autenticazione a più fattori (MFA) o a due fattori (2FA)