Accedi con Facebook, cosa significa dopo l'attacco che ha coinvolto 50 milioni di account

Esattamente una settimana fa Facebook ha confermato di aver subìto un attacco e che almeno 50 milioni di account avrebbero potuto essere controllati, insieme con tutte le informazioni in essi conservate, da un gruppo di criminali informatici.

Nell’articolo Attacco a Facebook: almeno 50 milioni di account controllabili da malintenzionati abbiamo spiegato come si è svolta l’aggressione.
In pratica, utenti malintenzionati sarebbero riusciti a impossessarsi dei token di accesso a Facebook di oltre 50 milioni di individui, su scala planetaria. Sfruttando i token altrui, gli aggressori hanno potuto impersonificare chicchessia sul social network raccogliendo le informazioni conservate nei profili e modificando la configurazione di ciascun account.

Facebook ha fatto presente che, stando alle prime analisi, gli aggressori non avrebbero fatto leva sulla loro azione per acquisire l’accesso su altri siti web. Anche se, va detto, il reale impatto dell’attacco incassato da Facebook è ancora per larga misura del tutto sconosciuto.

Perché i responsabili di Facebook si sono affrettati a dichiarare che nessun altro sito web sembra essere stato oggetto di attacco? Cosa c’entra Facebook con gli altri siti web?

Milioni di iscritti al social network usano Facebook come sistema di autenticazione su altri siti web.
Avete presente il pulsante blu Accedi con Facebook che compare in corrispondenza del form di login su migliaia di siti web?
Cliccando su tale pulsante, l’utente che abbia precedentemente effettuato l’accesso al suo account Facebook può autenticarsi sul sito web di terze parti senza creare un nuovo account, senza quindi dover scegliere un nome utente e una password e confermare il suo indirizzo email cliccando sul link ricevuto all’interno di un messaggio di posta elettronica.
Tutti passaggi noiosissimi che Facebook, come Google, Microsoft e altri provider, consentono di evitare.

Basta un clic sul pulsante Accedi con Facebook, confermare la condivisione con il sito web di alcune informazioni personali (di solito almeno nome utente e indirizzo email conosciuti a Facebook) e il gioco è fatto.

Peccato che l’incidente occorso nei giorni scorsi sul social network di Mark Zuckerberg solleva tanti punti interrogativi.
Facebook agisce come una sorta di intermediario tra l’utente e siti web terzi sui quali è necessario autenticarsi; il social network conserva il mazzo di chiavi che permette l’autenticazione veloce. Grazie all’utilizzo del protocollo OAuth il sito web sul quale si effettua il login non conoscerà mai le credenziali per l’accesso a Facebook né potrà leggere altre informazioni eccezion fatta per quelle condivise.
Ma cosa succede se l’intermediario perde il mazzo di chiavi, com’è di fatto accaduto nel caso di Facebook?

Purtroppo può succedere davvero di tutto perché il criminale informatico che riesce ad assumere il controllo di un account Facebook altrui può effettuare automaticamente il login su tutti i siti e le applicazioni web sulle quali l’utente si è autenticato in passato usando il pulsante Accedi con Facebook.

Il concetto di “fiducia” sulla rete Internet e nel settore tecnologico in generale è essenziale: ne consegue che sarebbe a questo punto opportuno accedere al proprio account Facebook, portarsi in questa pagina e controllare su quali siti ed applicazioni web si usa l’autenticazione di Facebook.

Le alternative? Un buon password manager magari installato in locale (e non cloud) che effettui il backup delle proprie credenziali in più locazioni di memoria e in forma cifrata (vedere Creare password sicura: oggi ricorre il World Password Day).