Facebook ha inavvertitamente archiviato indirizzi mail e password di 1,5 milioni di utenti. Sì, non si parla degli account dei profili Facebook ma proprio le mail personali e le password, per accedervi, di milioni di persone. Il noto social network ha confermato a Business Insider che la vicenda esplosa due settimane fa è più grande di quel che si credesse.
"Il mese scorso abbiamo smesso di offrire la verifica della password tramite e-mail come opzione per le persone che verificavano il loro account al momento della registrazione su Facebook. Quando abbiamo esaminato i passaggi che le persone stavano facendo per verificare i loro account, abbiamo scoperto che in alcuni casi i contatti e-mail delle persone sono stati anche caricati involontariamente su Facebook quando hanno creato il loro account ", ha confermato Facebook.
A inizio aprile un esperto di sicurezza informatica chiamato su Twitter e-sushi ha creato un account Facebook con mail temporanea sfruttando una VPN rumena, dopodiché si è ritrovato di fronte una procedura di verifica che richiedeva anche la password della sua mail. Replicando più volte l’esperimento, con mail diverse, ha ottenuto lo stesso risultato.
Ebbene, adesso sappiamo che la procedura ha macinato i dati di 1,5 milioni di utenti anche grazie a un'altra azione parallela. In fase di inserimento password compariva un popup che avvertiva dell'importazione in atto dei propri contatti – senza chiedere il permesso o escluderne la possibilità.
Facebook ha assicurato che i dati "sono stati caricati involontariamente" e che sta procedendo alla loro cancellazione e segnalazione di quanto accaduto agli utenti coinvolti. Il problema però è che tutte le informazioni raccolte sono state fagocitate dal sistema che profila le campagne pubblicitarie, ricostruisce le relazioni social fra utenti Facebook e suggerisce gli amici da aggiungere.
Un portavoce dell'azienda ha assicurato a Business Insider che la procedura era un'opzione impiegata prima del maggio 2016, dopodiché qualcosa deve essere andato storto poiché, come ha rivelato e-sushi, si è "risvegliata".
Facebook non è entrata in contatto in alcun modo con il contenuto della casella mail degli utenti, ma a questo punto rimane un interrogativo – a cui pare neanche il portavoce ha saputo rispondere. Se 1,5 milioni sono stati gli account registrati direttamente dall'opzione, quanti saranno stati i contatti condivisi dagli utenti coinvolti?