Scoperta una falla nel sistema di autenticazione a due fattori, introdotta per motivi di sicurezza
A volte proprio i sistemi che sembrano più sicuri nascondono qualche insidia; è il caso dell’introduzione da parte di Facebook dell’autenticazione a due fattori, che qualche tempo fa è stata adottata dal social network con il dichiarato intento di migliorarne la sicurezza.
Il sistema consiste nel fare login inserendo oltre alla password anche un codice univoco che viene inviato tramite SMS sul cellulare.
Fin qui, non sembrerebbero sussistere particolari criticità.
Facebook infatti nel presentare il sistema ha ovviamente dichiarato che il numero telefonico inserito dall’utente rimane nascosto, viene utilizzato esclusivamente per operazioni di autenticazione e non viene condiviso agli altri utenti della piattaforma. Chi lo desidera però può rendere pubblico il proprio numero tra i dettagli del proprio profilo tramite le opzioni della privacy.
Un ID univoco per collegare l’identità dell’utente
Una spiegazione che non ha destato preoccupazioni fino a quando Jeremy Burge, di Emojipedia ha pubblicato un tweet accusando Facebook di usare il numero di telefono indicato per l’autenticazione a due fattori per fini diversi da quelli dichiarati.
In particolare, il numero di telefono può anche essere usato per cercare l’utente a cui appartiene e non esiste la possibilità di disattivare questa modalità, che viene attivata come impostazione predefinita: si può solo restringerne l’uso ai soli Amici o agli Amici degli amici.
Come spiega Burge, il numero di telefono diventa «un ID univoco usato per collegare l’identità dell’utente su ogni piattaforma presente in Internet».
Una spiegazione che sembra sensata, dal momento che, se è vero che si può nascondere il proprio numero di telefono, in alcuni casi si possono ancora usare l’indirizzo email e il numero di cellulare per cercare utenti, per esempio «qualcuno carica le informazioni di contatto su Facebook dal cellulare», come spiega un articolo dell’Aiuto di Facebook.
Una minaccia per la privacy
Questo sistema potrebbe quindi rappresentare di fatto una minaccia per la privacy, con possibili ripercussioni anche su quella stessa sicurezza che l’autenticazione a due fattori dovrebbe rafforzare.
L’esperto di sicurezza Zeynep Tufekci commenta infatti: «Usare la sicurezza per indebolire ulteriormente la privacy è una mossa vile, soprattutto perché i numeri di telefono possono essere “dirottati” per indebolire la sicurezza» con pratiche come il SIM swapping.
Tufekci spiega che gli utenti dovrebbero aver ben chiaro che qualsiasi dato fornito a Facebook non può più essere considerato privato, neanche un numero di telefono che dovrebbe essere usato solo «per ragioni di sicurezza».
D’altra parte Facebook non sembra preoccuparsi di quest’ultimo scivolone sulla privacy; un portavoce ha precisato che la possibilità per tutti di cercare gli utenti attraverso i numeri di telefono – «non è una novità» ed è «applicata a qualsiasi numero di telefono che venga aggiunto al profilo».
