Malwarebytes è una società specializzata in sicurezza che ha appena scoperto l'ennesima applicazione (per desktop) - chiamata UnfriendAlert - che cerca di rubare le nostre credenziali di accesso al social network più popolare del Pianeta.
Pieter Arntz è il ricercatore che ha scoperto che sebbene l'applicazione faccia esattamente quanto promesso, questa gestisce nel modo sbagliato l'accesso a Facebook, chiedendo all'utente di inserire le proprie credenziali e inviandole poi a un server esterno che, ovviamente, le raccoglie e tiene memorizzate.
Può sembrare ovvio che per usare un servizio collegato a Facebook si debbano fornire le proprie credenziali e, in effetti, è così, ma il modo in cui l'operazione di login viene portata a termine fa una grande differenza.
Se un programma che scarichiamo in locale deve connettersi al social network per compiere il proprio lavoro, perché dovrebbe, come verificato da Pieter, inviare le credenziali a un dominio esterno (yougotunfriend.com)?
Le credenziali dovrebbero andare direttamente verso il servizio di login di FB o, come sarebbe auspicabile, usare le api di autenticazione del network per evitare di far passare attraverso software di terze parti dei dati così sensibili.
Invece, le password vengono dirottate su di un database esterno di cui non abbiamo traccia e l'applicazione che controlla se qualcuno ci toglie l'amicizia non viene neanche visualizzata nell'elenco delle applicazioni autorizzate da Facebook (segno che proprio si autentica in maniera volutamente anonima).
Ma perché raccogliere questi dati? Malwarebytes non fa ipotesi a proposito, ma qualche idea ci viene facilmente. Innanzitutto, per fare un po' di marketing "sporco". Vendere pubblicità dicendo che si può profilare la clientela in base a TUTTO quello che postano sul social network è sicuramente un grande punto di forza.
Poi si possono vendere queste credenziali a cybercriminali in caccia di "pezzi grossi" da colpire. Per fare un esempio: se qualcuno volesse portare un attacco a un ministero o una banca, potrebbe cercare chi lavora in quella istituzione o compagnia e dedurre molte informazioni utili per portare a segno il colpo semplicemente guardando cosa posta su Facebook (perché entrando con le credenziali dell'utente potrebbe accedere a tutto senza i vincoli delle impostazioni per la privacy).
Ancora più semplicemente, se le informazioni dovessero sfuggire dall'azienda che le controlla o se chi le compra dovesse finire per renderle pubbliche nel dark web, chiunque potrebbe darsi al cyberstalking.
Gli esempi sono infiniti e limitati solo dalla fantasia di chi si ritrova a poter gestire quei dati. Il consiglio che diamo, però, è chiaro e semplice da attuare: se un programma vi chiede le credenziali di accesso a un social network, guardatelo sempre con sospetto. Tutti i social network hanno dei sistemi per l'autenticazione tramite connessione diretta, in modo da non dover rilasciare username e password in giro.