Mark Zuckerberg ha ammesso di recente come Facebook abbia ancora parecchio lavoro da fare per arrivare a garantire un adeguato livello di protezione della privacy e dei dati ai suoi utenti. Chiedere loro la password della casella email non ci sembra uno step nella giusta direzione. È quanto accaduto di recente ad alcuni nuovi iscritti, come testimoniano diverse segnalazioni raccolte nei giorni scorsi.
Facebook e la password dell’email
Una pratica confermata da un portavoce della piattaforma alla redazione della testata Daily Beast. Durante la creazione di un nuovo account, alcuni si sono trovati di fronte a un box che chiede in modo esplicito di inserire il codice segreto per accedere alla posta elettronica privata. Lo scriviamo in altro modo, perché sia chiaro: non ci stiamo riferendo alla password scelta per il login a Facebook, bensì a quella per entrare nella casella email associata all’account, che con il social network non ha nulla a che fare. Non è trascorso molto perché esplodesse il caso. Di seguito uno screenshot a testimonianza di quanto riportato.
Hey @facebook, demanding the secret password of the personal email accounts of your users for verification, or any other kind of use, is a HORRIBLE idea from an #infosec point of view. By going down that road, you're practically fishing for passwords you are not supposed to know! pic.twitter.com/XL2JFk122l
— e-sushi (@originalesushi) March 31, 2019
Facebook specifica di non immagazzinare in alcun modo la password digitata, ma considerando quanto avvenuto con altre informazioni come i numeri di telefono e il problema che ha provocato il salvataggio in chiaro delle credenziali, la prudenza non è mai troppa. Un click sul link “Need help?” conduce ad altri metodi per la verifica come l’invio di un codice via SMS o di un link tramite email. Non è chiaro in quanti si siano trovati di fronte a questa bizzarra richiesta, tutt’altro che conforme alla volontà manifestata di agire in modo più rispettoso della privacy.
Stop alla pratica, dopo le critiche
Qual è il motivo che ha spinto il team di Facebook a implementare una funzione che non avrebbe potuto far altro se non attirare su di sé critiche e polemiche? Secondo Axios, si tratta di una misura implementata per coloro che in fase di registrazione inseriscono l’indirizzo di una casella che non offre il supporto al protocollo OAuth per la verifica dell’identità.
Capiamo che l’opzione per la verifica della password non rappresenti il modo migliore per farlo, quindi non la offriremo più.
Un esperimento non riuscito, dunque, da considerarsi archiviato. Il social network in blu non chiederà più agli utenti di specificare la password dell’email durante la registrazione.