Facebook sembra non riuscire a raggiungere un numero particolarmente elevato nell’ipotetico contatore che segnala i giorni trascorsi dall’ultimo incidente di sicurezza. È di oggi la notizia, resa pubblica proprio dal colosso dei social network attraverso un post sul proprio blog, secondo cui le password di centinaia di milioni di utenti sono state salvate in chiaro. Il problema è stato identificato a gennaio, ma ci sono volute parecchie settimane affinché la cosa diventasse di pubblico dominio
Solitamente le compagnie come Facebook prendono degli accorgimenti per proteggere le password dei propri utenti: la stessa compagnia afferma che la propria procedura prevede l’utilizzo di funzioni di hash e salt per rendere illeggibili le password, proteggendo la stringa finale con una chiave crittografica che sostituisce la password con un set casuale di caratteri.
In questo modo è possibile verificare la correttezza della password senza che questa risulti leggibile, nemmeno dagli sviluppatori interni. A quanto pare però la procedura non ha funzionato a dovere, almeno non per tutti gli utenti, visto che oltre 600 milioni di password sono state memorizzate in formato plain text, perfettamente leggibili da chiunque.
Facebook afferma che le password non sono mai state accessibili da alcuno al di fuori di Facebook e che non ci sono evidenze relative a un abuso da parte del personale interno. Pedro Canahuati, vice presidente del reparto Engineering, Security e Privacy, non ha però chiarito come Facebook sia giunta a questa conclusione, “dimenticandosi” di fornire una spiegazione sulla causa che ha reso possibile questa grave falla di sicurezza.
Qualche centinaio di milioni di utenti di Facebook Lite, e alcune decine di milioni di utenti che usano la versione classica di Facebook, riceveranno una notifica sul problema, insieme a qualche decina di migliaia di utenti di Instagram coinvolti nel problema. Il post si conclude con l’invito a cambiare la password, evitando di utilizzarne una già usata su altri servizi, e scegliendone una sufficientemente complessa.