Oggi ho scoperto per puro caso un comportamento di facebook che non mi piace per niente.

Come probabilmente avrete notato è possibile effettuare il login a facebook specificando indifferentemente username registrato o mail o, addirittura, numero di telefono (se associato all’account).

Distrattamente, ho provato a fare login specificando lo username incompleto: il risultato?

L’utente NON corretto.

E’ un messaggio ben preciso. Invece del messaggio “utente o password errati“.

Di fatto, in questo modo, il sistema di login di facebook è nativamente un tool di discovery dello username.

Infatti, se lo username esiste e la password è sbagliata viene fuori un messaggio decisamente diverso.

Qui ho provato a loggarmi specificando lo username di Catepol in modalità cavia:

Oltre a sapere che la password di Catepol non è *passworddicatepol*  ;-P abbiamo scoperto che:

1. lo username catepol è esistente
2. è associato al profilo di Caterina Policaro
3. Caterina Policaro ha quella foto come foto del profilo.

 

E non è poco visto che sono informazioni che poteva tranquillamente evitare di fornire.

Se tutto ciò non bastasse, il sistema di autenticazione di facebook prevede la possibilità di utilizzare come username il numero di telefono se associato.

Bene. Anzi, male.

Male perchè lo stesso identico meccanismo regola il logon con numero di telefono.

Vuoi sapere se il numero di telefono xyz è associato a qualche username?

Ecco di seguito i comportamenti specificando rispettivamente un numero di telefono associato ed uno no:

 

 

Spero che cambino presto questo modello di autenticazione perchè è un po’ troppo “social” per i miei gusti.

P.S.: Per chi non lo sapesse, cliccando su “modifica amici” si può accedere alla funzione “rubrica telefonica” che mostra tutti i numeri telefonici associati e resi disponibili dai vostri contatti