Ecco come Facebook ha sottratto (e pubblicato) le password di migliaia di utenti [ESCLUSIVO!]

E' notizia di pochi giorni fa che, a causa di un errore di progettazione, Facebook abbia inavvertitamente reso pubbliche le password di migliaia di utenti ignari. Anche se Facebook afferma che adesso l'errore è stato corretto e non è più possibile sfruttarlo, ormai il danno è fatto: su Internet circola liberamente un file contenente queste password, e chiunque può scaricarlo e accedere agli account di Facebook di tutti questi utenti, se ancora non hanno provveduto a cambiare la password del loro profilo Facebook.

Ma questa è solo la punta dell'iceberg. Oltre a perpetrare la più clamorosa truffa legalizzata agli utenti ignari, inducendoli a fare qualcosa che per anni tutti gli utenti di Internet si sono ben guardati dal fare, cioè registrarsi con proprio nome e cognome reale e fornire dati personali come data di nascita, titolo di studio e amicizie, Facebook si è spinta oltre, e lo ha fatto fin dall'inizio, sotto gli occhi di tutti: ha raccolto migliaia di password degli account di e-mail dei suoi utenti. E lo ha fatto in maniera semplicissima, e immediata: al momento della registrazione al servizio:

Questa pagina apparentemente innocua nasconde infatti un abile trucco si "social engineering", cioè induce chi la utilizza a inserire informazioni riservate senza rendersene conto. Osservate bene:

Proprio così! Al momento della registrazione, Facebook non chiede di specificare un classico "nome utente", ma di inserire il proprio indirizzo e-mail. Subito dopo invita a creare una password per Facebook. E qui scatta l'imbroglio: inserendo la richiesta di password subito sotto quella della mail, spinge l'utente a credere di dover inserire la password della propria mail, ma è del tutto falso: non è necessario, anzi è del tutto sconsigliato, usare per Facebook la stessa password della propria email!

Ma l'imbroglio non si ferma, continua nelle pagine di registrazione successive:

Facebook dichiara esplicitamente che per completare la registrazione è necessario accedere alla propria casella di posta, e fornisce, molto gentilmente, anche un pulsante per accedervi immediatamente.

E la truffa continua ogni giorno, quando Facebook vi fa credere che la vostra mail e la password di Facebook debbano essere sempre abbinate:

Qualche tempo fa premendo il pulsante "accedi alla tua mail" nella pagina di registrazione compariva una finestra di Facebook (quindi non de proprio provider di posta elettronica) che invitava esplicitamente a inserire i dati del proprio login di posta elettronica per accedere ai propri messaggi; una nota a margine specificava "Facebook non memorizza la vostra password". Adesso pare che premendo il pulsante si venga invece rimandati alla pagina del proprio provider.

In ogni caso, ormai Facebook ha già raccolto le password private di migliaia di utenti, e l'ha fatto in maniera del tutto legale: gli utenti l'hanno immessa spontaneamente!

Fino ad ora l'unico problema era che così Facebook poteva accedere a piacimento alle caselle di posta di chiunque, e già questo era grave. Ora invece la situazione è diventata drammatica: Facebook ha inavvertitamente reso pubblico il proprio archivio di password! Archivio che non era scritto in codice, ma in chiaro, leggibile immediatamente da tutti! Adesso chiunque ha accesso a questo archivio puo' accedere alle email personali di tutti quelli che hanno inserito su Facebook la password della propria email!

Ma non è ancora tutto: alcuni utenti usano la stessa password non solo per Facebook e la posta, ma anche per l'accesso ai servizi di hosting per pubblicare i propri siti su internet: il risultato è che ora chiunque può accedere come amministratore ai loro siti, modificarli a piacimento, e leggerne i dati. Se si tratta di siti di e-commerce che permettono il pagamento tramite di credito, il problema diventa di portata enorme.

Ma è tutto legale: Facebook non ha infranto nessuna legge. La infrangerà solo chi userà quelle password per usi illeciti.
L'accesso indebito a sistemi informatici non di propria appartenenza è punibile con fino a due anni di reclusione.

Altre notizie:
http://technews.it/HiSfB
http://technews.it/BgePc