Lettera aperta di Sophos a Facebook su sicurezza e privacy

In una lettera aperta a Facebook pubblicata ieri sul sito Naked Security, Sophos (uno dei leader mondiali nel settore della sicurezza informatica) chiede al social network di applicare tre principi fondamentali, e si chiede anche perchè Facebook non abbia già provveduto spontaneamente anzichè attendere che qualche organismo di controllo prima o poi intervenga.

"Caro Facebook," recita la lettera, "Come sai, per diversi anni abbiamo discusso con il tuo security team le nostre preoccupazioni sulla sicurezza e sulla privacy su Facebook. Ogni giorno, delle vittime ci riportano di crimini e frodi perpetrate su Facebook. Sono state coinvolte personalmente e chiedono disperatamente consiglio su come affrontare le conseguenze."

"Una richiesta frequente da parte degli utenti che ci contattano è ‘Perchè Facebook non fa di più per proteggerci?’ Abbiamo identificato tre semplici step che potresti prendere per proteggere in modo migliore i tuoi utenti:

1) PRIVACY DI DEFAULT
Non più condivisione di informazioni senza il consenso esplicito degli utenti (OPT-IN). Quando aggiungi una nuova feature per la condivisione di ulteriori informazioni sugli utenti, non dovresti assumere che questi vogliano la feature attiva in automatico.

2) CONTROLLO PER GLI SVILUPPATORI DI APP
È troppo facile diventare uno sviluppatore di app per Facebook. Con oltre un milione di sviluppatori di app già registrati sulla piattaforma Facebook, non sorprende che il servizio sia pieno di applicazioni malevole e scam virali. Solo sviluppatori di terze parti certificati ed approvati dovrebbero pubblicare app sulla piattaforma.

3) HTTPS PER TUTTO
Apprezziamo la recente introduzione di una opzione HTTPS, ma è stata lasciata disattivata per default. Anche peggio, ti sei impegnato a fornire una connessione sicura ‘ogni volta che sarà possibile’. Facebook dovrebbe assicurare una connessione sicura tutto il tempo, di default. Senza questa protezione, i tuoi utenti rischiano di perdere informazioni personali a causa di hacker."

"Perchè aspettare che una regolamentazione forzi la mano sulla privacy?" si chiede infine l'estensore della lettera. "Agisci ora per il bene di tutti. I tuoi utenti ci dicono che questi sono i problemi che vorrebbero veder risolti. Quindi la nostra domanda è: quando prevedi di agire?"

La lettera ha scatenato i commenti sia sul sito di Sophos che in rete. Le tre questioni sembrano del tutto legittime e sensate ma le cose non sono così semplici.
Sul primo punto, si potrebbe obiettare che un Facebook totalmente impostato sulla privacy avrebbe difficoltà a fare incassi dagli sponsor, condannandosi alla chiusura. Anche sul controllo ferreo delle app si nutrono dubbi analoghi. Perplessità tecniche vengono infine espresse sul terzo punto: quale sito, se non quelli per le transazioni bancarie, utilizza l'HTTPS per tutte le proprie pagine?

La discussione non è facile e Facebook non fornirà, probabilmente, le risposte che Sophos si augura.