Informazioni, immagini, messaggi, commenti, finiti nelle mani sbagliate. Migliaia di applicazioni fallate, milioni di utenti. Symantec ha lanciato alcune ore fa un’accusa frontale a Facebook: non è stata garantita la sicurezza dei dati sensibili.
Si aggiunge un altro capitolo, insomma, alla lunga storia della sicurezza dei dati sul social network. Dopo le accuse del Wall Street Journal, famoso per le sue inchieste sulle applicazioni che in quel caso coinvolse FarmVille, ora ci pensa una società di sicurezza informatica, e molto nota.
Sul suo blog, infatti, si è rivolta ai suoi utenti (e indirettamente a Palo Alto) con un documento molto approfondito, per denunciare un problema di cui è certa:
“Terze parti, in particolare inserzionisti, hanno accidentalmente avuto accesso agli account degli utenti di Facebook tra cui i profili, fotografie, chat, e hanno avuto anche la possibilità di inviare messaggi e informazioni. Fortunatamente, queste terze parti non hanno compreso la loro capacità di accedere a queste informazioni. Abbiamo segnalato questa questione a Facebook, che ha adottato misure correttive per contribuire ad eliminare questo problema.”
Il fatto che Symantec abbia scoperto una falla nella programmazione fa parte del suo lavoro, che però lo denunci con questo comunicato è un altro affare: evidentemente, tutte queste applicazioni rischiano di fare di Facebook un gruviera e di chi si occupa di sicurezza un soldato contro i mulini a vento.
Da par suo, Facebook ha già risposto con uno stizzito comunicato a Reuters firmato dalla portavoce Malorie Lucich:
“Purtroppo, il rapporto Symantec risulta avere un paio di imprecisioni. In particolare, abbiamo condotto un’approfondita indagine che non ha rivelato alcuna evidenza di questo problema e quindi nessuna conseguente variazione delle informazioni private dell’utente, che non vengono condivise con terze parti non autorizzate.”
In aggiunta, la portavoce ha anche precisato che gli obblighi contrattuali degli inserzionisti e sviluppatori vietano loro di ottenere o condividere informazioni degli utenti. Tanto per stare tranquilli, però (e forse dando in parte ragione a Symantec senza ammetterlo) Facebook ha eliminato la vecchia API (Application Programming Interface) incriminata, come spiegato in un post sul blog degli sviluppatori, dove si sottolinea la sicurezza del nuovo sistema di autenticazione OAUTH2.0.
Dunque, se falla c’è stata, la perdita di dati è solo potenziale, e ora la falla è chiusa. Per chi non si fida, c’è una sola alternativa: cambiare le password di accesso.