Il mese scorso la notizia riguardante le password di una buona fetta di utenti Facebook (da 200 a 600 milioni) salvate in chiaro nei server del social network. La comunicazione è giunta mediante un post condiviso dall’azienda sul proprio blog ufficiale. Intervento oggi aggiornato per rendere noto che dalle indagini condotte è emerso come l’intoppo abbia riguardato anche molti più iscritti a Instagram rispetto a quanto dichiarato in un primo momento.
Le password di Instagram salvate in chiaro da FB
Sono milioni gli utenti della piattaforma di photo sharing interessati e non decine di migliaia come affermato inizialmente. Non è dato a sapere quanti con esattezza. Il gruppo di Menlo Park ha annunciato di essere al lavoro per avvisarli al più presto dell’accaduto, con tutta probabilità suggerendo loro di cambiare il codice segreto per l’autenticazione. FB afferma inoltre che non ci sono stati abusi all’interno della società e che nessuno di esterno è riuscito a mettere le mani sui file, salvati per errore in un formato leggibile senza alcun tipo di protezione né crittografia. Riportiamo l’update in forma tradotta.
In seguito alla pubblicazione di questo post abbiamo scoperto nuovi log con le password di Instagram salvati in un formato leggibile. Stimiamo che questo problema possa aver impattato milioni di utenti Instagram. Li avviseremo dell’accaduto come fatto con gli altri. Le nostre indagini hanno determinato che queste password salvate non sono state oggetto di abusi interni né di accessi impropri.
Ancora non sono del tutto chiare le dinamiche che hanno portato a salvare, all’interno di log accessibili dai dipendenti di Facebook, le password degli utenti. Si è parlato in un primo momento di un comportamento imprevisto dell’applicazione Lite impiegata per l’accesso al social network.
Si tratta dell’ennesima grana per il gruppo di Mark Zuckerberg, finito ieri di nuovo sotto osservazione per aver caricato involontariamente sui propri server i contatti associati alla casella di posta elettronica di quegli utenti che per la verifica del proprio account in fase di registrazione hanno scelto di digitare la password della propria email: 1,5 milioni i coinvolti. Il metodo, criticato da ogni parte, non è più attivo dal mese scorso.