Violazioni della privacy da parte dei dipendenti Facebook

Il post seguente è stato tradotto, previa autorizzazione, dal blog Schneier on Security

Non so se questo sia reale. Ma sembra del tutto ragionevole che tutto quanto sia su Facebook, venga memorizzato in un enorme database e che qualcuno con permessi appropriati possa accedervi e modificarlo. Ha anche senso che gli sviluppatori ed altre persone, abbiano la necessità di assumere l’identità di chiunque.

Rumpus: Hai accennato, prima, ad una password principale, che non è più utilizzata.

Dipendente: Non so esattamente quando il suo uso sia stato disapprovato, ma avevamo una master password; tale da poter digitare l’user ID di qualsiasi utente e successivamente questa password. Non ho intenzione di dare la password esatta. Ma usando lettere maiuscole e minuscole, simboli, numeri e tutto il resto, era ‘Chuck Norris,’ più o meno. Era fantastico.

Rumpus: Era accessibile a tutti i dipendenti Facebook?

Dipendente: Tecnicamente, sì. Ma è stata più o meno limitata ai soli ingegneri originari, in fondo le uniche persone che ne fossero a conoscenza. Non poteva accadere che persone scelte a caso, delle risorse umane ad esempio, avessero potuto utilizzare la password per accedere ai profili. È stata creata e progettata per motivi tecnici. Ma era lì e tutti i dipendenti avrebbero potuto trovarla, se avessero saputo dove cercare.

Devo dire, inoltre, che era utilizzabile solo internamente. Se avessi voluto accedere da un liceo o da una libreria, non avrei potuto usarla. Si doveva essere nell’ufficio Facebook ed utilizzare l’ISP Facebook.

Rumpus: Pensi che i dipendenti Facebook abbiano mai abusato del privilegio di avere un accesso universale?

Dipendente: Per quanto ne so, è successo in passato, visto che almeno due persone sono state licenziate.

[…]

Dipendente: Vedi, il fatto è che – e non so quanto tu ne sappia – è tutto memorizzato in un database sul backend. Letteralmente tutto. I messaggi vengono memorizzati in un database, che siano stati eliminati o meno. Quindi interrogando il database, possiamo consultarlo facilmente senza mai accedere al tuo account. Questo è ciò che molte persone non capiscono.

Rumpus: Quindi la master password è sostanzialmente irrilevante.

Dipendente: Sì.

Rumpus: È solo un vezzo.

Dipendente: Esatto. Ma non è più usata. Come ho già accennato, abbiamo dato un giro di vite ultimamente; ma è stata sostituita da uno strumento veramente fantastico. Se, ad esempio, visito il tuo profilo sulla nostra rete interna trovo un tasto ‘cambia accesso’. Facendo un semplice clic, spiegando perché mi stia autenticando tramite il tuo account e poi confermando con ‘OK’, ecco, sono te. Si può fare finché si fornisce una spiegazione, visto che è sempre meglio esser in grado di motivarla. Ad esempio, se si sta indagando su un account compromesso, è necessario essere effettivamente in grado di accedere a tale account.

Rumpus: l manager ti stanno veramente col fiato sul collo, ogni volta che ti autentichi come qualcun altro?

Dipendente: No, ma se salta fuori, è meglio essere in grado di giustificarlo. O vieni licenziato.

Rumpus: Cos’hanno fatto?

Dipendente: So che uno di loro è entrato ed ha modificato i dati di altre persone, ha cambiato le loro opinioni religiose, o qualcosa di simile. Non ricordo esattamente cosa fosse, ma è stato fatto rapporto, scoperto e licenziato.

Fonte: Privacy Violations by Facebook Employees

Written by admin

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.