Nel weekend, Buffer – una popolare applicazione per programmare gli aggiornamenti di stato sui social network – è stata colpita da un attacco che ha pubblicato arbitrariamente dei contenuti su Facebook e Twitter. Anch’io sono stato coinvolto, scoprendo un tweet di SPAM che non avevo inviato, e ho subito cambiato la password: non era un problema di Twitter, ma di Buffer che invita tutti gli utenti a reimpostare la connessione alla piattaforma di microblogging sul proprio account. Non servirebbe disporre altrettanto con Facebook.

Indovinate un po’? È il ritorno dei cosiddetti hacker delle diete: le immagini incontrollate che ritraevano della frutta sono comparse a giugno su Instagram, lasciando intendere a molti che a produrre lo SPAM fosse un’azienda di prodotti dietetici — ipotesi smentita da Gianpiero Riva che, giustamente, ha sottolineato l’utilizzo dei frutti per una vasta operazione di phishing con le carte di credito. Che abbiate davvero avuto dei problemi su Facebook e Twitter o meno, è consigliabile seguire alla lettera le indicazioni di Buffer.

Se dei malintenzionati hanno potuto colpire indifferentemente prima Instagram, poi Facebook e Twitter attraverso Buffer è perché tutte queste le piattaforme utilizzano OAuth: un meccanismo – adottato anche da Google e numerosi altri servizi – per semplificare il login. È palese, considerata l’entità del danno, che la versione 2.0 del protocollo non sia sufficiente a garantire la sicurezza degli utenti. Io ignoro se dipenda dall’implementazione errata oppure dallo standard in sé, ma penso che “qualcosa” dovrebbe essere corretto.