mercoledì 11 maggio 2011

Facebook, un grande fratello ?





Violazione degli account e dei dati di accesso. Nuovi interrogativi piombano sul social network più diffuso al mondo, Facebook. Ad alimentare il sospetto è Symantec. Secondo l’azienda statunitense produttrice di software per la sicurezza informatica alcuni programmatori di Facebook avrebbero accidentalmente avuto accesso ai profili, fotografie e chat degli utenti e avrebbero avuto la possibilità di inviare informazioni.

Una volta segnalato il problema pare che Facebook abbia provveduto a riparare l’errore. Le applicazioni vengono quotidianamente utilizzate dalla stragrande maggioranza degli utenti. Secondo Facebook ne vengono installate circa 20 milioni al giorno. Per Symantec, azienda con sede a Cupertino, alcune delle applicazioni che fanno uso di iframe possono aver aperto l’accesso ai “token” degli utenti. I token sono una sorta di “chiavi di riserva” consegnate agli utenti del social network. Le applicazioni possono utilizzarle per eseguire determinate operazioni per conto dell’utente o accedere al profilo. Ad ogni token è associato una cerchia di operazioni, come la lettura della bacheca e delle interazioni con altri amici. Ognuno di essi termina di operare dopo un periodo di tempo prestabilito. Ma alcune applicazioni possono chiedere di accedere al profilo anche in modalità offline e fruttare i token anche quando l’utente non è connesso al sito, fino al successivo cambio di password.

Per impostazione predefinita, Facebook utilizza per l’autentificazione il protocollo OAUTH2.0. I vecchi sistemi tuttavia, sono ancora supportati ed utilizzati da centinaia di migliaia di applicazioni. Quando un utente visita la pagina web apps.facebook.com/appname Facebook invia una quantità limitata di informazioni della persona (come città, nome, età) attraverso i quali l’applicazione personalizzerà poi la pagina. L’applicazione provvederà poi a reindirizzare l’utente verso una pagina contenente permessi. Se l’applicazione utilizza una versione obsoleta delle Facebook API ed è dotata dei parametri “return_session = 1″ e “session_version = 3″, come parte del loro codice di reindirizzamento, il social network restituisce il “token” inviando una richiesta http che contiene il token di accesso. “Non sappiamo quanti token possono essere stati sottratti dal 2007 – fa sapere la Symantec dal suo sito -. Ma pensiamo che molti di questi gettoni siano stati conservati e siano ancora disponibili nei file di log dei server gestiti da terzi o utilizzati da altre aziende. Gli utenti preoccupati per la loro sicurezza possono modificare la password del loro profilo per invalidare tutti i token sottratti”. (www.giornalettismo.com)

Nessun commento: