Numero di telefono su Facebook, falla di sicurezza o superficialità dell’utente

Diverse fonti, fra cui Sun (che non teme rivali per titoli allarmistici ed esagerati) e Newsweek (decisamente più ancorato alla realtà dei fatti), riportano una notizia su una potenziale falla di sicurezza in Facebook, attraverso la quale sarebbe possibile prendere controllo di un account con passi semplici e alla portata di tutti.

Come accade in molti casi, approfondire diventa la chiave per lottare contro la superficialità di giudizio indotta dalla lettura di un semplice titolo, che porterebbe alla facile conclusione di ritenere Facebook un colabrodo sul fronte sicurezza. Può esserlo o meno, ma non certo per la vicenda che andremo ad esporre.

I fatti

James Martindale è un diciottenne che lavora in ambito informatico, imbattutosi in un fatto strano. Dopo aver inserito la nuova SIM T-Mobile nel telefono, ha cercato di utilizzarlo come predefinito in Google Voice passando per la app FreedomPop, un servizio USA che abbatte drasticamente i costi dei contratti mensili, che oltreoceano sono molto cari. In uno di questi passaggi deve essere apparso qualcosa come “Log in with Facebook”, come accade in moltissime app risparmiandoci una ulteriore creazione di credenziali di accesso specifiche per ogni servizio.

Si accorge così che il profilo Facebook che la app tenta di associargli non è il suo, ma di un’altra persona. Incuriosito dalla cosa, inserisce il numero di telefono in Facebook e giunge al profilo non suo, scoprendo nome e cognome. James non è un malintenzionato ma è curioso e fa una prova: tenta di loggarsi scrivendo una password volutamente sparata a caso e ovviamente sbagliata, cui segue il suggerimento di recuperare l’accesso tramite uno dei possibili dati presenti nel profilo. Sceglie il numero di telefono. Ed ecco arrivare sul suo telefono il codice di accesso di sblocco, con cui entra tranquillamente nell’account dello sconosciuto, con la possibilità di fare tutto quello che vuole.

Una vera falla di sicurezza? Siamo sicuri?

Facebook, come tutti i servizi online, permette di recuperare le credenziali smarrite o dimenticate. Mette a disposizione questa operazione attraverso diverse modalità, partendo dal presupposto che l’utente sia attento a compilare e aggiornare i propri dati, specie quando questi cambiano nel tempo. Può capitare di dover cambiare o aggiungere un numero, ad esempio quello del telefono aziendale, così come può capitare di dimenticarsi di toglierlo.

James ha solertemente contattato Facebook per segnalare il problema, che ha però sminuito di molto il livello di allarme lamentato dal diciottenne. Facebook, a ragione secondo il nostro punto di vista, imputa le colpe sia alle compagnie telefoniche che assegnano numeri in disuso ad altri utenti, sia agli utenti che non aggiornano il profilo. Aggiungiamo noi che la colpa è tutta a carico dell’utente nel caso di telefoni aziendali che passano di mano in mano, in cui le compagnie telefoniche non cambiano proprio assegnazione al numero. Se ci si dimentica di aggiornare il proprio profilo Facebook non si può parlare di falla si sicurezza, ma di superficialità nella gestione del proprio account Facebook.

Il solerte James può aver ragione su una cosa che imputa a Facebook, ovvero i troppo sporadici reminder sulla necessità di tenere i profili aggiornati. Volendo tirare le somme possiamo dire che sì, alcuni account sono potenzialmente esposti al furto di identità, ma le probabilità di imbattersi contemporaneamente in un numero vecchio che sia presente in altri profili, utilizzato oggi da “smanettoni” curiosi e malintenzionati è davvero infinitesimale. (fonte)