Sebastiano Pezzile
La polemica nei confronti del social network americano Facebook non paiono placarsi: ai nuovi utenti iscritti è stato richiesto di fornire la password della propria casella email, rendendo di fatto la piattaforma non distinguibile da un qualunque sito di phishing, mettendo a serio repentaglio la sicurezza dell’utente finale.
Dopo Cambridge Analytica e l’odierno nuovo aggiornamento privacy per Whatsapp per proteggere gli utenti dallo spam massivo continuano i passi falsi dell’azienda americana che probabilmente in un maldestro tentativo di ridurre l’incidenza dei fake accounts ha deciso di inserire un nuovo controllo di sicurezza per i nuovi account, facendo storcere il naso e adirando gli esperti di sicurezza online.
Non date la vostre email a nessuno, nemmeno a Facebook
Se decidete di iscrivervi a Facebook con un indirizzo di mail di alcuni domini come Yandex o GMX , infatti, vi sarà richiesto attraverso un popup di inserire la password della vostra casella di posta elettronica. Questo non accade se vi iscrivete tramite account Gmail ad esempio in quanto verrà utilizzato il protocollo Oauth e dovrete semplicemente fare il login sulla piattaforma Google.
https://twitter.com/originalesushi/status/1112496649891430401
Il “bug” o “feature” è stato scoperto per la prima volta dall’utente su Twitter @originalesushi ed ha allarmato immediatamente gli esperti di sicurezza online. Una volta provveduta la vostra password a Facebook esso passerà ad aggiungere automaticamente i contatti dalla vostra lista senza aver chiesto all’utente il permesso di effettuare l’operazione.
Ciò che preoccupa è tuttavia un altro aspetto: richiedere di fornire la password della vostra email online crea un pericolosissimo precedente, va contro alle più basilari regole da seguire per proteggere la propria identità online e potrebbe rendere utenti più o meno esperti più vulnerabili a tentativi di phishing da parte di scammer e truffatori. Non fornire la vostra password a nessuno è il primo insegnamento da impartire a tutti i nuovi internauti, ed essa è ripetuta a caratteri cubitali sulla maggior parte dei siti web affidabili.
Riportiamo a tal proposito le parole di Bennett Cyphers, ricercatore di sicurezza online del gruppo Electronic Frontier Foundation:
Questo è praticamente indistinguibile da un tentativo di fishing. È una cosa negativa su diversi piani. È un tentativo assurdo di Facebook di scavalcare i diritti degli utenti e uno squallido tentativo di ingannare gli utenti e fare l’upload dei dati relativi ai propri contatti su Facebook al prezzo di iscriversi alla piattaforma. Anche quando dai il tuo consenso a fare l’upload delle informazioni dei tuoi contatti su Facebook non dovresti essere mai costretto a inserire la tua password per farlo. Nessuna compagnia dovrebbe mai chiedere alle persone le loro credenziali in questo modo, e non dovreste fidarvi di nessuno che lo faccia. Questo va contro tutte le regole del senso comune.
Vi è inoltre un ulteriore problema. È stato recentemente scoperto come le password di milioni di utenti non fossero criptate ma fossero quindi conservate in chiaro e accessibili a tutti gli impiegati di Facebook. La stessa azienda americana si è prodigata immediatamente di smentire questa possibilità affermando che tali password non siano raccolte da Facebook in alcun modo e che l’opzione di fornire la password della propria email verrà cancellata al più presto possibile.
Continuano quindi le azioni grige del gruppo per tentare probabilmente di ottenere sempre più informazioni possibili sui propri utenti da poter rivendere. Questo articolo dovrebbe servire a tutti come un ulteriore invito a tenere sempre a mente le regole basilari per garantire la vostra sicurezza su internet: non fornire mai a nessuno la password della vostra email o di qualunque altra piattaforma.