Se stamattina Facebook vi ha chiesto di reinserire la vostra password sappiate che potreste essere tra i milioni di utenti colpiti da un attacco hacker. Il 25 settembre un ingegnere di Facebook fa l’amara scoperta. Una falla nella sicurezza dei sistemi ha portato al furto di informazioni da quasi 50 milioni di account di tutto il mondo — sono oltre due miliardi in tutto — anche in Italia. L’attacco è stato annunciato pubblicamente da un post sul blog ufficiale oggi, quindi tre giorni dopo. Assicurando che il problema è stato preso seriamente e la vulnerabilità è stata risolta nella serata di giovedì 27 settembre.

La falla si nasconde nella funzionalità «Visualizza come...» che permette all’utente di avere un’anteprima di come vede il suo profilo una persona con cui non ha ancora stretto amicizia. Le informazioni pubbliche insomma, accessibili a tutti. Questa funzione è stata sfruttata per rubare l’accesso agli account e quindi impadronirsi di tutto ciò che vi è contenuto. Nonché degli account stessi e — di conseguenza — di entrare in tutte quelle altre applicazioni in cui ci siamo loggati attraverso il nostro account. Spiegano dal blog che ciò di cui sono entrati in possesso gli autori dell’attacco sono i cosiddetti token, «l’equivalente di chiavi digitali che mantengono le persone loggate a Facebook così che non devono rientrare e inserire la loro password ogni volta che usano l’app». Secondo il vicepresidente Guy Rosen sono state sfruttate almeno tre distinti bug ed era necessaria, per completare l’attacco, una buona conoscenza dei sistemi. Non solo bisognava sapere come rubare i token, ma anche conoscerne l’utilizzo. Intanto la società perde il 3 per cento in Borsa.

Facebook fa sapere di aver già reso sicuri i 50 milioni di account colpiti. E, in via precauzionale, di aver anche operato su 40 milioni di profili che potrebbero essere stati vulnerabili nell’anno passato perché hanno utilizzato almeno una volta la funzione «Visualizza come..». 90 milioni di persone si ritroveranno quindi a dover riloggarsi sull’applicazione. Un’azione che permette al token di resettarsi e quindi garantire la sicurezza dell’account. Chi ha dovuto rientrare su Facebook, ha dovuto compiere la stessa azione su Messenger. Una volta ottenuto l’accesso, una notifica all’inizio del Feed dovrebbe spiegare loro cos’è successo, anche se abbiamo visto che — per chi si è accorto del problema stamattina — nessun post li ha informati dell’accaduto. Al momento inoltre, la funzione «Visualizza come..» è stata sospesa, per capire cos’è andato storto. Mentre secondo Facebook, al momento non è necessario cambiare la propria password. Ma forse è bene perlomeno disconnettersi da tutte le app su cui ci siamo loggati attraverso il social network e ripensare a quanto sia effettivamente comodo ma poco lungimirante collegare così tanti servizi a un’unica piattaforma.