Tom's Hardware Italia
Sicurezza

Instagram, le password esposte potrebbero essere milioni

Facebook ha rivisto al rialzo le stime sul numero di password rimaste esposte sui server in chiaro, senza cifratura. Non sarebbero poche decine di migliaia, ma milioni.

Ormai non passa giorno senza che ci sia almeno una nuova notizia di problemi sulla gestione dei dati sensibili riguardante Facebook come gruppo. Oggi ad esempio tocca a Instagram, il social network visuale di proprietà dell’azienda di Mark Zuckerberg. La settimana scorsa era emerso infatti che inavvertitamente sui server aziendali erano state salvate password in chiaro di utenti di Facebook e di Instagram. “poche decine di migliaia” erano state definite quelle di questi ultimi, come se fossero poche. Oggi però il post è stato corretto: le password esposte potrebbero essere milioni.

I problemi sono diversi. Anzitutto Facebook ha sempre detto di non conservare le password sui propri server e invece, a quanto pare, lo ha fatto. Per errore? Forse, in ogni caso c’erano. Poi ovviamente c’è il problema della mancata cifratura. Anche se le password erano “al sicuro” su server Facebook non raggiungibili dall’esterno, i dipendenti con accesso al server stesso avrebbero potuto vederle in qualsiasi momento.

E poi c’è lo stile. Utilizzare termini riduttivi come “solo” o “appena” per decine di migliaia di account è già di per sé un ridicolo tentativo di minimizzare un evento grave. Aggiornare lo stesso post già online da alcuni giorni per portare il conto da decine di migliaia a milioni è una caduta di stile incredibile, che al tempo stesso rappresenta un maldestro tentativo di tenere un profilo basso sull’accaduto, e un atteggiamento di sprezzante disinteresse per i dati degli utenti, trattati da Facebook come merce propria di cui fa ciò che vuole. Al limite anche senza avvisare gli utenti o senza chiedere scusa.

Cosa ci si può attendere ora? Secondo il ricercatore di sicurezza Brian Krebs, in realtà Facebook conserverebbe le password dei propri utenti in questo modo sin dal 2012. Cambiare la nostra password attuale sembra ormai davvero il minimo, ma sarà sufficiente?