Il Chief Security Officer di Facebook, Alex Stamos, ha annunciato che un difetto con la sua autenticazione a due fattori che significava che ad alcuni utenti venivano inviate notifiche tramite messaggio di testo era un bug.
In un post sul blog, ha affermato: "L'ultima cosa che vogliamo è che le persone evitino utili funzionalità di sicurezza perché temono di ricevere notifiche non correlate. Non era nostra intenzione inviare notifiche SMS non legate alla sicurezza a questi numeri di telefono e mi scuso per gli eventuali disagi che questi messaggi potrebbero aver causato".
Alcuni utenti che hanno riscontrato il bug hanno anche scoperto che quando inviavano risposte alle notifiche chiedendo loro di interrompere, i loro messaggi venivano pubblicati sui loro muri di Facebook affinché tutti potessero vederli. Secondo Stamos, in questi casi, il comportamento del social network non era un difetto, ma piuttosto una funzionalità di cui gli utenti semplicemente non erano a conoscenza.
"Per anni, prima dell'ubiquità degli smartphone, abbiamo supportato la pubblicazione su Facebook tramite SMS, ma questa funzione è meno utile di questi tempi. Di conseguenza, stiamo lavorando per ritirare presto questa funzionalità".
Questa scusa mi sembra ancora un po' ambigua, dal momento che le pagine di supporto di Facebook dicono che è necessario impostare i testi di Facebook per sfruttare questa funzionalità. Come abbiamo menzionato nella storia originale di seguito, Gabriel Lewis, il programmatore che ha evidenziato i difetti, ha affermato esplicitamente di non essersi mai registrato per i messaggi di testo.
Detto questo, il numero di telefono da cui Lewis ha ricevuto le notifiche (32665) è lo stesso numero che Facebook utilizza per le funzionalità dei messaggi di testo, quindi chi lo sa. La morale della storia è che se non vuoi che qualcosa appaia sulla tua bacheca, non condividerlo con Facebook per caso.
La storia originale continua qui sotto:
Facebook è sotto esame per due difetti significativi nella gestione dell'autenticazione a due fattori.
L'autenticazione a due fattori, o 2FA, viene utilizzata per aggiungere un ulteriore livello di sicurezza agli account online. Quando accedi utilizzando un nome utente e una password, viene generato un secondo codice univoco, spesso inviato tramite SMS, per impedire a chiunque altro di accedere a un account.
Come riportato da The Verge, l'ingegnere informatico statunitense Gabriel Lewis ha notato all'inizio di questa settimana che Facebook stava inviando notifiche di testo a un numero di telefono che aveva registrato solo per ricevere questi codici di accesso. Significativamente, non aveva mai scelto di abilitare le notifiche di messaggi di testo.
LEGGI SUCCESSIVO: Come abilitare l'autenticazione a due fattori su Facebook
Il secondo difetto, che sembra essere un bug, è che quando Lewis ha risposto ai messaggi chiedendo a Facebook di smettere di inviarli, le sue risposte sono state pubblicate sulla sua bacheca di Facebook affinché tutti i suoi amici potessero vederle. Per aggiungere al danno la beffa, le notifiche sono poi proseguite.
Il primo difetto è, per molti versi, più preoccupante, perché apparentemente significa che Facebook sta usando i numeri di telefono degli utenti per scopi di marketing senza un'autorizzazione esplicita. Come sottolinea The Verge, questo dà adito ad azioni legali negli Stati Uniti, dove il Telephone Consumer Protection Act proibisce alle aziende di contattarti in questo modo senza consenso.
Questo non vuol dire che anche le implicazioni del secondo difetto non siano significative. L'utente di Twitter David Comdico è riuscito a dire a tutta la sua famiglia di andare all'inferno inavvertitamente rispondendo alle notifiche con rabbia, il che ovviamente è tutt'altro che ideale.
In questa fase, sembra che i difetti siano specifici della regione. Non sembra avere un impatto su nessuno nel Regno Unito. Inoltre, quando provo a rispondere a un SMS con codice di accesso, i messaggi di testo semplicemente non vengono inviati, quindi non viene visualizzato nulla sulla mia bacheca di Facebook.
LEGGI SUCCESSIVO: spiegazione dell'autenticazione a due fattori
L'eminente scrittrice turca, Zeynep Tufekci, che è stata schietta nella sua critica dei difetti, ha chiesto se qualcuno nell'UE fosse stato colpito e, al momento della stesura, nessuno ha risposto affermando di averlo fatto.
Facebook ci ha rilasciato la stessa dichiarazione rilasciata a The Verge: “Diamo alle persone il controllo sulle loro notifiche, comprese quelle relative alle funzionalità di sicurezza come l'autenticazione a due fattori. Stiamo esaminando questa situazione per vedere se c'è altro che possiamo fare per aiutare le persone a gestire le loro comunicazioni".
Il social network non ha chiarito se la pubblicazione automatica sulle bacheche degli utenti fosse un bug e ha anche affermato che gli utenti possono utilizzare l'autenticazione a due fattori senza registrare un numero di telefono utilizzando il "generatore di codici" sull'app mobile di Facebook.
Vedi le informazioni correlate Come abilitare (o disabilitare) l'autenticazione a due fattori su Facebook Spiegazione dell'autenticazione a due fattori: Perché dovresti abilitare la sicurezza in due passaggiÈ difficile immaginare che entrambi i difetti siano mosse calcolate da parte di Facebook, specialmente dopo che Mark Zuckerberg ha preso la risoluzione del nuovo anno per correggere i difetti del social network. Anche il capo di Civic Engagement del sito, Samidh Chakrabarti, ha recentemente annunciato misure per aiutare a ricostruire la fiducia degli utenti nel sito. Invece, sembra che due bug si siano semplicemente uniti nel peggiore dei modi.
Tuttavia, fino a quando non ci saranno ulteriori chiarimenti da parte di Facebook su come gli utenti sono arrivati a ricevere notifiche tramite il numero di telefono che hanno registrato per l'autenticazione a due fattori, alcuni si chiederanno inevitabilmente se sia un altro esempio della crescente disperazione del social network per guidare il coinvolgimento degli utenti.
