c.m.g
12-05-2011, 09:33
mercoledì 11 maggio 2011
Una vulnerabilità nelle API di Facebook avrebbe permesso ad almeno 100mila applicazioni di consegnare inavvertitamente i token per l'accesso a milioni di informazioni personali degli utenti in blu. Intraprese, in ritardo, misure correttive
Roma - A lanciare l'allarme ci ha pensato una analisi (http://www.symantec.com/connect/blogs/facebook-applications-accidentally-leaking-access-third-parties) pubblicata sul blog ufficiale di Symantec, società specializzata in sicurezza informatica. Una specifica vulnerabilità delle API sfruttate da Facebook avrebbe permesso ad un numero spropositato di applicazioni di avere accesso - in maniera quasi totale - alle informazioni contenute in milioni di profili in blu.
Date di nascita, indirizzi fisici e di posta elettronica, album fotografici, addirittura conversazioni avvenute tramite messaggi privati o chat. Contenuti ed informazioni finite nelle mani di terze parti - per lo più advertiser - consegnate inavvertitamente da almeno 100mila applicazioni presenti sul gigantesco social network.
Stando all'analisi (http://thenextweb.com/facebook/2011/05/10/100000-facebook-apps-have-been-leaking-user-data-accidentally-for-years/) condotta dagli esperti di Symantec, la massiva fuoriuscita di dati sarebbe andata avanti per anni, con centinaia di migliaia di applicazioni pronte a consegnare milioni di token per il libero accesso alle informazioni. Gli stessi esperti di Symantec hanno sottolineato come i singoli sviluppatori non debbano essere considerati per forza responsabili.
In altre parole (http://online.wsj.com/article/SB10001424052748703730804576315682856383872.html), ad essere vulnerabili sarebbero le API di Facebook, attive fin dal primo lancio delle applicazioni in blu nel 2007. Symantec non è riuscita a quantificare la possibile mole di dati e informazioni che potrebbero essere ancora nelle grinfie di società terze e signori dell'advertising.
Pare che i responsabili di Facebook abbiano già intrapreso misure correttive, in collaborazione con la stessa Symantec. Agli utenti più allarmati è stato consigliato di modificare la propria password d'accesso al sito in blu. Un aggiornamento della Developer Roadmap del social network ha inoltre obbligato tutte le applicazioni a sfruttare i parametri del nuovo standard di sicurezza OAuth 2.0.
Un post apparso sul blog ufficiale di Facebook ha tuttavia sottolineato come l'analisi condotta da Symantec presenti delle inesattezze. Secondo Douglas Purdy, a capo delle relazioni con gli sviluppatori, un'inchiesta interna al sito avrebbe confermato la mancata condivisione di informazioni personali con società terze o advertiser.
Stando al parere dello stesso Purdy, una società sarebbe comunque obbligata a rispettare i termini di servizio imposti da Facebook, che vietano attualmente lo sfruttamento dei dati personali degli utenti. C'è un piccolo dettaglio: nessuna vulnerabilità delle API di Facebook dovrebbe permettere alle applicazioni di rilasciare i token per milioni di informazioni.
Mauro Vecchio
Fonte: Punto Informatico (http://punto-informatico.it/3158042/PI/News/facebook-tempesta-imperfetta-della-privacy-blu.aspx)
Una vulnerabilità nelle API di Facebook avrebbe permesso ad almeno 100mila applicazioni di consegnare inavvertitamente i token per l'accesso a milioni di informazioni personali degli utenti in blu. Intraprese, in ritardo, misure correttive
Roma - A lanciare l'allarme ci ha pensato una analisi (http://www.symantec.com/connect/blogs/facebook-applications-accidentally-leaking-access-third-parties) pubblicata sul blog ufficiale di Symantec, società specializzata in sicurezza informatica. Una specifica vulnerabilità delle API sfruttate da Facebook avrebbe permesso ad un numero spropositato di applicazioni di avere accesso - in maniera quasi totale - alle informazioni contenute in milioni di profili in blu.
Date di nascita, indirizzi fisici e di posta elettronica, album fotografici, addirittura conversazioni avvenute tramite messaggi privati o chat. Contenuti ed informazioni finite nelle mani di terze parti - per lo più advertiser - consegnate inavvertitamente da almeno 100mila applicazioni presenti sul gigantesco social network.
Stando all'analisi (http://thenextweb.com/facebook/2011/05/10/100000-facebook-apps-have-been-leaking-user-data-accidentally-for-years/) condotta dagli esperti di Symantec, la massiva fuoriuscita di dati sarebbe andata avanti per anni, con centinaia di migliaia di applicazioni pronte a consegnare milioni di token per il libero accesso alle informazioni. Gli stessi esperti di Symantec hanno sottolineato come i singoli sviluppatori non debbano essere considerati per forza responsabili.
In altre parole (http://online.wsj.com/article/SB10001424052748703730804576315682856383872.html), ad essere vulnerabili sarebbero le API di Facebook, attive fin dal primo lancio delle applicazioni in blu nel 2007. Symantec non è riuscita a quantificare la possibile mole di dati e informazioni che potrebbero essere ancora nelle grinfie di società terze e signori dell'advertising.
Pare che i responsabili di Facebook abbiano già intrapreso misure correttive, in collaborazione con la stessa Symantec. Agli utenti più allarmati è stato consigliato di modificare la propria password d'accesso al sito in blu. Un aggiornamento della Developer Roadmap del social network ha inoltre obbligato tutte le applicazioni a sfruttare i parametri del nuovo standard di sicurezza OAuth 2.0.
Un post apparso sul blog ufficiale di Facebook ha tuttavia sottolineato come l'analisi condotta da Symantec presenti delle inesattezze. Secondo Douglas Purdy, a capo delle relazioni con gli sviluppatori, un'inchiesta interna al sito avrebbe confermato la mancata condivisione di informazioni personali con società terze o advertiser.
Stando al parere dello stesso Purdy, una società sarebbe comunque obbligata a rispettare i termini di servizio imposti da Facebook, che vietano attualmente lo sfruttamento dei dati personali degli utenti. C'è un piccolo dettaglio: nessuna vulnerabilità delle API di Facebook dovrebbe permettere alle applicazioni di rilasciare i token per milioni di informazioni.
Mauro Vecchio
Fonte: Punto Informatico (http://punto-informatico.it/3158042/PI/News/facebook-tempesta-imperfetta-della-privacy-blu.aspx)