Un vero e proprio ultimatum, lanciato dai responsabili di Facebook ad un nutrito gruppo di sviluppatori in blu. I vertici del gigantesco social network hanno così iniziato ad inviare una serie di urgenti notifiche, all’attenzione di alcuni developer al lavoro su svariate applicazioni presenti sulla piattaforma di Mark Zuckerberg.
Facebook ha dunque dato ai suoi sviluppatori 48 ore di tempo per apportare significative modifiche tecniche a numerose applicazioni, correggendo una particolare vulnerabilità legata al rilascio dei token per il libero accesso alle informazioni degli utenti iscritti . Un problema serio per il colosso californiano, recentemente evidenziato dagli esperti di Symantec .
Era stata proprio la società specializzata in sicurezza informatica a lanciare l’allarme : una specifica vulnerabilità delle API sfruttate da Facebook avrebbe permesso ad un numero spropositato di applicazioni di avere accesso – in maniera quasi totale – alle informazioni contenute in milioni di profili.
Questa massiva fuoriuscita di dati sarebbe andata avanti per anni, con centinaia di migliaia di applicazioni pronte a consegnare milioni di token per il libero accesso alle informazioni. Gli stessi esperti di Symantec hanno sottolineato come i singoli sviluppatori non debbano essere considerati per forza responsabili .
Pare invece che lo siano, almeno secondo i responsabili del social network. I vari developer avrebbero violato una specifica policy, relativa appunto al rilascio di token verso terze parti. Stando alla Developer Roadmap di Facebook, gli sviluppatori sarannno costretti a passare – entro il prossimo 1 settembre – ai parametri del nuovo standard di sicurezza OAuth 2.0.
Nella comunità degli sviluppatori ha iniziato a serpeggiare il caos , mentre qualcuno non ha esitato a parlare di OAuthpocalypse . Facebook ha sottolineato come il numero di developer in questione sia ridotto, nonostante le dimensioni non proprio esigue del sito e delle applicazioni coinvolte: 100mila secondo Symantec .
I responsabili del sito hanno dunque consigliato ai developer di migrare subito verso il nuovo standard per l’accesso cifrato ai token, in modo da essere i primi a mettersi in regola. Ma gli sviluppatori avranno solo 48 ore, prima che Facebook intraprenda misure estreme come una messa al bando di massa.
Mauro Vecchio