Facebook ha aggiornato il post ufficiale del 21 marzo scorso correggendo il numero della password degli utenti Instagram archiviate in chiaro. Non sono decine di migliaia, ma milioni. All'azienda non risultano abusi, tutti gli utenti interessati saranno comunque avvisati.
Facebook ha ammesso di avere conservato milioni di password di Instagram in chiaro, senza protezione. Non è l’errore di gestione della privacy di cui abbiamo parlato ieri, e nemmeno quello d’inizio mese. È un problema figlio di quanto emerso il 21 marzo scorso, quando l’azienda di Mark Zuckerberg comunicò di avere archiviato in chiaro, per errore, le password di decine di migliaia di iscritti a Instagram. A quanto pare gli addetti hanno rifatto il conto, ed è emerso che gli utenti Instagram coinvolti sono “milioni”.
Instagram sembrava il “male minore”, in confronto ai “centinaia di milioni di utenti di Facebook Lite” e alle “decine di milioni di altri utenti di Facebook” annunciate il 21 marzo, adesso non lo è più. La comunicazione è avvenuta mediante l’aggiornamento del post già presente sul blog dal 21 marzo. Con le aggiunte del caso, l’azienda afferma ora di aver “scoperto ulteriori registri delle password di Instagram che sono stati archiviati in un formato leggibile. Stimiamo ora che questo problema abbia avuto un impatto su milioni di utenti di Instagram”.
Quanti “milioni di utenti” non è dato saperlo, in compenso l’azienda si premurerà di notificare a tutti quanto scoperto. Inoltre, a quanto risulta al momento, “non ci sono stati abusi internamente o non sono state consultate correttamente” le password in chiaro.
Gli esperti di sicurezza non hanno gradito le modalità di comunicazione. L’aggiornamento del post avrebbe potuto passare inosservato. Evan Greer, vice direttore della società di promozione della privacy Fight for the Future, ha spiegato al quotidiano The Guardian che a suo avviso Facebook avrebbe agito con questa tempistica per cercare “di seppellire questa faccenda sotto ad altri scandali più grandi della settimana”.
Greer è addirittura dell’avviso che questo modo di procedere sia un “minimizzazione e scusarsi senza affrontare il problema fondamentale: che il suo attuale modello di business è incompatibile con la privacy degli utenti“. Accuse pesanti, caricate ancora di più dal reporter della sicurezza Brian Krebs, secondo cui Facebook avrebbe memorizzato milioni di password senza crittografia per anni. La risposta di Facebook non si è fatta attendere: un portavoce ha ribadito a The Guardian che “questo è un problema che è già stato ampiamente riportato, vogliamo essere chiari sul fatto che abbiamo semplicemente capito che c’erano più password memorizzate in questo modo. Non ci sono prove di abuso o uso improprio di queste password“.