Non passa ormai più di qualche giorno senza che si parli di una vulnerabilità o di un problema per i sistemi di sicurezza posti in essere da Facebook a tutela dei suoi utenti. Il nuovo allarme è relativo a un bug riscontrato in un’API messa a disposizione degli sviluppatori, rilevato nel mese di settembre e reso noto solo oggi. Stando alle informazioni ufficiali ne sono stati potenzialmente colpiti fino a 6,8 milioni di utenti, coloro che hanno collegato all’account almeno una delle circa 1.500 applicazioni incriminate.
Facebook: un bug per l’API delle foto
A far luce sull’accaduto un post firmato da Tomer Bar, Engineering Director del social network. Il bug ha esteso la possibilità da parte degli sviluppatori di accedere ben oltre i confini di quanto condiviso pubblicamente dagli utenti, andando a interessare anche le immagini caricate sul Marketplace e nelle Storie. Interessate inoltre le fotografie per le quali l’upload e lo sharing non sono stati completati con successo, ad esempio perché l’operazione è stata interrotta da una disconnessione.
Se qualcuno carica una foto su Facebook, ma non porta a termine la pubblicazione, ad esempio perché perde la connessione o perché inizia un meeting, salviamo una copia dell’immagine così la persona la può ritrovare quando torna a usare l’app al fine di completare il post.
Per essere precisi, il problema si è verificato dal 13 al 25 settembre di quest’anno, proprio nei giorni in cui Facebook ha reso nota un’altra grave vulnerabilità che ha interessato 90 milioni di account. Nel post, il team della piattaforma si scusa per l’accaduto e promette di fare il possibile per assicurarsi che le immagini raccolte sfruttando il bug vengano eliminate. Nutriamo qualche dubbio sulla disponibilità a collaborare da parte di tutti gli sviluppatori coinvolti.
Ci spiace sia accaduto. All’inizio della prossima settimana distribuiremo strumenti agli sviluppatori così da permettere di determinare quali utenti hanno utilizzato le loro applicazioni incontrando gli effetti di questo bug. Collaboreremo con loro per eliminare le fotografie provenienti dagli utenti interessati.
Agli utenti colpiti sarà mostrato un avviso, del tutto simile a quello nello screenshot di seguito, consigliando di controllare le applicazioni connesse all’account e le immagini raccolte da ognuna.
Come controllare se si è colpiti
Per sapere se il proprio account è tra quelli interessati dal problema è sufficiente recarsi su una pagina messa online dal Centro Assistenza di Facebook (è necessario il login). Nel caso di pericolo scampato, viene mostrato il seguente messaggio.
Il tuo account Facebook non è stato interessato dal problema e le app che usi non hanno avuto accesso ad altre tue foto.
Il social network ha individuato l’intoppo, lo ha risolto e ora lo rende noto ai suoi iscritti. Non si spiega però perché siano trascorsi due mesi e mezzo. Una tempistica non conforme a quanto previsto dal GDPR: la nuova normativa europea sul trattamento dei dati impone infatti che nel caso di violazioni ne venga data comunicazione entro e non oltre 72 ore dalla scoperta.