Continua l’investigazione del colosso dopo la compromissione dei “token” d’accesso che ha coinvolto 90 milioni di utenti in tutto il mondo. Al momento non sembrerebbe aver coinvolto i servizi collegati col Facebook Login
FACEBOOK torna a rassicurare sul recente data breach, la violazione di alcuni “token” di identificazione utilizzati da uno o più attaccanti per prendere il controllo di 50 milioni di profili, fra cui 5 milioni europei. Per sicurezza, la piattaforma ha costretto altri 40 milioni di utenti – tutti quelli che avevano utilizzato la funzione “Visualizza come” – a reinserire username e password per accedere non solo alla piattaforma ma a una serie di altri servizi collegati. Come noto, infatti, tramite gli estremi del social blu si accede ormai a una infinita quantità di altre piattaforme senza scegliere altri pin o codici. Guy Rosen, vicepresidente e responsabile per la sicurezza del colosso di Menlo Park che in questi giorni ha tenuto in mano la situazione d’emergenza, ha spiegato che i primi accertamenti degli investigatori della piattaforma “non hanno trovato alcuna evidenza” del fatto che gli attaccanti siano riusciti ad accedere alle app di terze parti attraverso quei token sottratti. Dunque quegli elementi identificativi, che servono anche a mantenere aperta la sessione sul social senza dover ogni volta reinserire gli estremi, non sembrerebbero aver dato accesso ai servizi collegati tramite il cosiddetto Facebook Login. Anche da parte di questi servizi paiono esserci state conferme che no, non sembrerebbero esserci stati accessi non autorizzati o data breach di altro tipo. Anche se, in fondo, non si capisce bene in che chiave propongano queste rassicurazioni dal momento che se fosse accaduto non avrebbero potuto accorgersene, visto che gli attaccanti disponevano di elementi identificativi dei veri utenti. Alcuni hanno comunque preso delle precauzioni come Uber e SkyScanner, che stanno ancora approfondendo il caso e hanno chiuso le sessioni attive traite Facebook. Insomma, l’aggiornamento limiterebbe almeno il problema alla sola Facebook: “Ogni sviluppatore che utilizzi gli strumenti di sviluppo ufficiali di Facebook sono automaticamente protetti dal momento che abbiamo resettato tutti i token d’accesso” ha aggiunto Rosen, specificando che sarà presto a disposizione anche per chi non usi i tool ufficiali della piattaforma uno strumento per verificare gli utenti coinvolti e scollegarli.
Simone Cosimi, Repubblica