Symantec contro FB: fuga di dati dai profili ad aziende inserzioniste (delle applicazioni)?

Personaggi e interpreti

– L’utente (chi utilizza anche applicazioni non di Facebook)

– Lo sviluppatore (il programmatore che crea un’applicazione)

– L’inserzionista (colui che paga lo sviluppatore perchè inserisca un proprio banner nella sua applicazione)

In queste ore leggiamo su varie agenzie giornalistiche su web (Leggo.it, Affari Italiani, etc) notizie relative al “pericolo” che gli utenti di Facebook stanno correndo nell’utilizzare applicazioni.

Puntando principalmente sulla sensazionalità piuttosto che pensare ad informare correttamente i lettori, la notizia, forse volutamente, è pubblicata in modo abbastanza generico e confuso, stimolando appelli inutili anche all’interno del social network.

Cosa succede quando autorizziamo un’applicazione ad accedere ai nostri dati

Quando giochiamo su Facebook, quando mandiamo un gadget, o rispondiamo a test fantasiosi e ogni volta che utilizziamo in genere un’applicazione NON di Facebook, la prima cosa che viene visualizzata è una richiesta esplicita di “condivisione” dei nostri dati personali, delle preferenze espresse, degli amici che abbiamo (etc) oltre all’autorizzazione (in alcuni casi) di scrivere sulla nostra bacheca, mandare messaggi tramite chat o posta, e così via.

La lista completa di queste autorizzazioni è visualizzata immediatamente nel riquadro di accesso all’applicazione (esclusivamente la prima volta) e solitamente riporta i termini d’uso dei nostri dati personali e quale sia il soggetto responsabile del trattamento di tali dati.

Nel caso in cui volessimo rinfrescarci la memoria, possiamo accedere alla nostra privacy e cliccare sull’opzione in basso “Applicazioni e siti web” per un riepilogo completo (ed eventualmente l’eliminazione di applicazioni sconosciute o non più usate).

Una volta dato l’assenso, l’applicazione riceve un nostro “biglietto da visita” sottoforma di codice alfanumerico (access token) che permette allo sviluppatore di ricevere i nostri dati tramite il suo programma e di collegarlo a determinate azioni per “interagire” con il nostro profilo.

Solitamente tale codice ha una durata molto breve (scade pochi minuti dopo essere usciti dall’applicazione o da FB) e l’unica eccezione si riferisce al permesso concesso esplicitamente per poter “lavorare” al nostro profilo ANCHE quando siamo offline (ad esempio, le gestioni di RSSFeed, che pubblicano post a nostro nome anche quando non siamo collegati), fortunatamente utilizzato da pochi programmi.

Cosa ha scoperto Symantec

Dobbiamo premettere che molte applicazioni vendono spazi pubblicitari all’interno del proprio programma. Tali spazi pubblicitari (banner) sono inseribili anche tramite l’istruzione iframe dove, attraverso una finestrella, è visualizzata una porzione di un altro sito, esterno a Facebook e all’applicazione stessa.

Tali finestre hanno la possibilità di accedere (attraverso il browser e alla tecnica del referer), alle informazioni proprie di chi sta navigando (chi visualizza tale finestra e da quale sito proviene).

SOLO SE alcune istruzioni venivano usate (in particolare due), potevano “leggere” anche il nostro “biglietto da visita”, inizialmente concesso solo all’applicazione per accedere ai dati del nostro profilo o altro.

In altre parole, un inserzionista, cliente dello sviluppatore, era in grado di leggere le stesse credenziali di accesso ai nostri dati similmente allo sviluppatore stesso mentre eravamo collegati (ricordiamoci dell’eccezione).

Poteva quindi, in teoria, accedere (sempre mentre eravamo collegati all’applicazione) ai dati, usare la chat, pubblicare post, compiere insomma tutte le azioni permesse all’applicazione stessa.

Symantec, dopo aver indicato i potenziali danni anche numerici dal 2007 ad oggi, consigliava di “cambiare la propria password di accesso”, perchè in questo modo il “biglietto da visita” concesso alle applicazioni (di ogni genere) si sarebbe resettato automaticamente.

Cosa dice Facebook

Facebook afferma che, a conoscenza del problema e dopo aver svolto indagini, non vi sono state perdite di informazioni perchè nessuno inserzionista sapeva come raccogliere e a cosa corispondesse quel codice legato al “referer”.

Ha provveduto a eliminare le istruzioni che permettevano questa “raccolta” e cambiato il protocollo per la gestione di informazioni (è di ieri la notizia che intende costringere gli sviluppatori ad adeguarsi all’uso dei certificati di sicurezza per garantire agli utenti una navigazione sicura [https] sempre).

Vi sono inoltre degli obblighi contrattuali che limitano legalmente la manipolazione dei dati degli utenti da parte degli sviluppatori, obblighi che se infranti, possono sfociare in cause civili (che regolarmente il social network vince, con rimborsi milionari).

Quindi, nel caso in cui tale accesso fosse avvenuto, risultava responsabile lo sviluppatore.

Cosa consigliamo noi

Il problema NON sussiste più, perchè FB ha eliminato definitivamente il bug che permetteva la raccolta diretta degli access token utilizzando il protocollo OAuth 2.0.

Considerando la brutta abitudine che gli utenti italiani hanno di autorizzare ogni tipo di applicazione senza leggere alcuna informazione relativa ai termini d’uso dei dati e ai soggetti che li gestiscono, il problema era comunque trascurabile.

Se informazioni del genere, per quanto esageratamente allarmistiche, possono portare a una maggior sensibilizzazione al problema, ben vengano.

Controllate SEMPRE, per OGNI applicazione utilizzata, chi sia lo sviluppatore, o l’azienda di riferimento, visitate il suo sito, leggete termini e condizioni d’uso dei dati, i limiti, le finalità.

Nel caso tali informazioni non siano presenti o appaiano lacunose, NON DATE IL CONSENSO ALL’ACCESSO DEI VOSTRI DATI.

Articoli di riferimento

Leggo.it

Affari Italiani

Reuters

Symantec

Facebook Blog

SeeYouSoon

Nota a cura di Claudio Cerroni (Hunch – Assistenza e Consulenza Informatica).

Iscriviti alla nostra PaginaAggiornamenti per essere sempre aggiornato sui problemi di Facebook. Se vuoi ricevere le nostre note anche nella posta (per non fartele sfuggire), iscriviti anche al gruppo CheckOnLine.

CheckBlackList | PaginaAggiornamenti | News | Facebook | Toolbar | WorkingOn

Potrebbero interessarti anche...