Ieri, alcuni utenti hanno denunciato la pubblicazione non autorizzata di fotografie che ritraevano della frutta (quella che appare nell’articolo non è fra le immagini contestate, per inciso): a seguito dei dovuti controlli, pare che a pubblicarle sia stata un’azienda di bevande dietetiche. Facebook è intervenuta a mettere in sicurezza gli account degli utenti, rimuovendo gli scatti “incriminati”. Già, ma com’è possibile che terze parti accedano ai profili e inseriscano dei contenuti? Purtroppo, il meccanismo è davvero semplice.

Apprendendo l’accaduto, ho ricordato la conversazione avuta con Gianpiero Riva durante un incontro in redazione: Instagram utilizza OAuth 2.0, lo stesso protocollo d’autenticazione implementato da Google e Facebook, per concedere l’accesso alle applicazioni di terze parti. In pratica, quando l’utente accede a una app, è generato un token – «gettone», lett. – cifrato che lo identifica. Memorizzato il token, uno sviluppatore può bypassare l’accesso a Instagram con username e password ed effettuare delle operazioni non autorizzate.

OAuth 2.0 prevede autorizzazioni in lettura, scrittura o entrambe. In genere, io utilizzo il protocollo per recuperare gli aggiornamenti di stato dai social network e pubblicarli sui siti che sviluppo: Twitter impone l’autenticazione con OAuth 1.0a, ad esempio. Eseguire operazioni non autorizzate è considerato SPAM, ma nulla vieta agli sviluppatori di farlo comunque… e, spesso, gli utenti non se n’accorgono neppure. Come limitare il rischio? Leggete sempre i termini d’uso e non installate le app con un atteggiamento compulsivo.

Photo Credit: Christy Birmingham via Photo Pin (CC)