Ancora guai per Facebook: un bug di sicurezza pubblicato ieri avrebbe esposto le foto di sette milioni di utenti, anche quelle non pubblicate.
Facebook ha annunciato nella giornata del 14 dicembre 2018 un bug nel suo sistema. Un difetto nell API per le foto potenzialmente esponeva le foto agli sviluppatori di applicazioni di terze parti, anche quelle non postate. Secondo la fonte ufficiale questo bug di Facebook è esistito dal 13 al 25 settembre 2018. Tuttavia Facebook lo ha reso noto solo il 14 dicembre.
Bug di Facebook che espone le foto: cosa è successo?
Per chi vuole approfondire, i dettagli tecnici sono disponibili sulla pagina ufficiale. Per riassumere, le cose sono andate così. Facebook offre da sempre API agli sviluppatori di applicazioni. In pratica, gli sviluppatori possono “agganciare” i loro programmi a Facebook e sfruttarne alcune funzioni. Questo permette sia di semplificare il lavoro agli sviluppatori indipendenti, sia a Facebook di allargare facilmente la base utenti.
Pensiamo per esempio a tutti i servizi che, invece di farci compilare un lunghissimo form di iscrizione, ci permettono di iscriverci con Facebook.
Uno di questi strumenti a disposizione degli sviluppatori si chiama Photos API e permette agli sviluppatori di richiedere l’accesso alle foto degli utenti per offrire una serie di funzioni aggiuntive. Quando gli utenti concedono l’accesso alle loro foto, normalmente i permessi dovrebbero limitarsi a quelle della timeline, oltre ovviamente a rispettare qualsiasi restrizione della privacy che l’utente, cioè noi, abbia inserito.
Il bug di Facebook “scavalcava” alcuni permessi
A causa di questo bug appena annunciato Photo API ha permesso a circa 1.500 applicazioni di accedere a tutte le foto degli utenti, comprese quelle condivise su Stories o sul Marketplace. Inoltre, permetteva anche a questi sviluppatori di vedere le foto caricate ma mai postate. Questo perché le foto caricate ma non pubblicate vengono automaticamente salvate come bozze, a meno che non le cancelliamo in modo esplicito. Una scelta non proprio saggia, alla quale pare Facebook abbia messo una toppa di recente: ora le foto vengono conservate in bozza per tre giorni, poi eliminate automaticamente.
Facebook nel comunicato ufficiale dice che il bug ha colpito “fino a 6,8 milioni di utenti e fino a 1.500 applicazioni costruite da 876 sviluppatori“.
Numeri considerevoli, ma quello che sta lasciando perplessa la community più di tutto è che la piattaforma abbia deciso di comunicare l’accaduto solo dopo tre mesi. Scelta oggettivamente poco comprensibile. In ogni caso, Facebook ha anche annunciato che gli utenti colpiti da questa falla di sicurezza verranno avvisati.
Non è ancora chiaro se e come questo problema abbia coinvolto anche gli utenti italiani, ma per i prossimi giorni è consigliabile tenere d’occhio le notifiche e, in ogni caso, darci da fare per migliorare la sicurezza di Facebook.
Fonte foto copertina: pexels.com/photo/access-app-application-apps-267399/
