Il responsabile della sicurezza di Facebook, Alex Stamos, ha annunciato che un difetto nell'autenticazione a due fattori che faceva sì che ad alcuni utenti venissero inviate notifiche tramite messaggio di testo fosse un bug.
In un post sul blog, ha affermato: "L'ultima cosa che vogliamo è che le persone evitino funzionalità di sicurezza utili perché temono di ricevere notifiche non correlate. Non era nostra intenzione inviare notifiche SMS non relative alla sicurezza a questi numeri di telefono e mi scuso per gli eventuali disagi che questi messaggi potrebbero aver causato."
Alcuni utenti che hanno riscontrato il bug hanno anche scoperto che quando inviavano risposte alle notifiche chiedendo loro di smettere, i loro messaggi venivano pubblicati sulle loro bacheche di Facebook affinché tutti potessero vederli. Secondo Stamos in questi casi il comportamento del social network non era un difetto, ma piuttosto una funzionalità di cui gli utenti semplicemente non erano a conoscenza.
“Per anni, prima dell’avvento degli smartphone, supportavamo la pubblicazione su Facebook tramite SMS, ma oggigiorno questa funzionalità è meno utile. Di conseguenza, stiamo lavorando per ritirare presto questa funzionalità”.
Questa scusa mi suona ancora un po’ sospetta, visto che le pagine di supporto di Facebook dicono proprio così è necessario impostare i messaggi di Facebook per sfruttare questa funzionalità. Come accennato nella storia originale di seguito, Gabriel Lewis, il programmatore che ha evidenziato i difetti, ha affermato esplicitamente di non essersi mai iscritto ai messaggi di testo.
Detto questo, il numero di telefono da cui Lewis ha ricevuto le notifiche (32665) è lo stesso numero che Facebook utilizza per la funzionalità dei messaggi di testo, quindi chi lo sa. La morale della storia è che se non vuoi che qualcosa appaia sulla tua bacheca, non condividerlo su Facebook per sbaglio.
La storia originale continua di seguito:
Facebook è sotto esame per due difetti significativi nella gestione dell'autenticazione a due fattori.
L'autenticazione a due fattori, o 2FA, viene utilizzata per aggiungere un ulteriore livello di sicurezza agli account online. Quando accedi utilizzando un nome utente e una password, viene generato un secondo codice univoco, spesso inviato tramite SMS, per impedire a chiunque altro di accedere a un account.
Come riportato da Il limite, l'ingegnere informatico statunitense Gabriel Lewis ha notato all'inizio di questa settimana che Facebook inviava notifiche di testo a un numero di telefono che aveva registrato solo per ricevere questi codici di accesso. Significativamente, non aveva mai scelto di abilitare le notifiche dei messaggi di testo.
LEGGI SUCCESSIVO: Come abilitare l'autenticazione a due fattori su Facebook
Il secondo difetto, che sembra essere un bug, è che quando Lewis ha risposto ai messaggi chiedendo a Facebook di smettere di inviarli, le sue risposte sono state pubblicate sulla sua bacheca di Facebook affinché tutti i suoi amici potessero vederle. Per aggiungere la beffa al danno, le notifiche continuarono.
Il primo difetto è, per molti versi, più preoccupante, perché apparentemente significa che Facebook sta utilizzando i numeri di telefono degli utenti per scopi di marketing senza esplicita autorizzazione. Come sottolinea The Verge, ciò dà motivo di intraprendere azioni legali negli Stati Uniti, dove il Telephone Consumer Protection Act vieta alle aziende di contattarti in questo modo senza consenso.
Questo non vuol dire che anche le implicazioni del secondo difetto non siano significative. L'utente di Twitter David Comdico è riuscito inavvertitamente a mandare al diavolo tutta la sua famiglia rispondendo alle notifiche con rabbia, il che ovviamente è tutt'altro che ideale.
In questa fase, sembra che i difetti siano specifici della regione. Non sembra avere alcun impatto su nessuno nel Regno Unito. Inoltre, quando provo a rispondere a un SMS con il codice di accesso, i messaggi di testo semplicemente non vengono inviati, quindi sulla mia bacheca di Facebook non appare nulla.
LEGGI SUCCESSIVO: Spiegazione dell'autenticazione a due fattori
L'eminente scrittrice turca Zeynep Tufekci, che fu esplicita nella sua critica ai difetti, ha chiesto se qualcuno nell'UE fosse stato colpito, e al momento in cui scrivo, nessuno ha risposto affermando di averlo fatto.
Facebook ci ha fornito la stessa dichiarazione rilasciata a The Verge: “Diamo alle persone il controllo sulle loro notifiche, comprese quelle relative a funzionalità di sicurezza come l'autenticazione a due fattori. Stiamo esaminando questa situazione per vedere se c’è altro che possiamo fare per aiutare le persone a gestire le proprie comunicazioni”.
Il social network non ha chiarito se la pubblicazione automatica sulle bacheche degli utenti fosse un bug e ha anche affermato che gli utenti può utilizzare l'autenticazione a due fattori senza registrare un numero di telefono utilizzando il "generatore di codici" sul cellulare Facebook app.
Vedi correlati
È difficile immaginare che entrambi i difetti siano mosse calcolate da parte di Facebook, soprattutto dopo che Mark Zuckerberg ha fatto la nuovi propositi per il nuovo anno per correggere i difetti del social network. Anche il responsabile dell’impegno civico del sito, Samidh Chakrabarti misure recentemente annunciate per aiutare a ricostruire la fiducia degli utenti nel sito. Invece, sembra che due bug si siano semplicemente riuniti nel peggiore dei modi.
Tuttavia, fino a quando non ci saranno ulteriori chiarimenti da parte di Facebook su come gli utenti arrivano a ricevere le notifiche tramite il telefono numero registrato per l'autenticazione a due fattori, alcuni si chiederanno inevitabilmente se si tratti di un altro esempio del la crescente disperazione dei social network per stimolare il coinvolgimento degli utenti.
