La storia recente della sicurezza informatica è piena di episodi in cui le grandi aziende ricompensano con denaro sonante quanti segnalano loro le falle presenti nei vari prodotti: si tratta di un modo intelligente di invogliare gli altri a fare lo stesso, anziché sfruttare i bug per loschi fini.

Facebook fa eccezione: stando a quanto successo ad Aran Khanna, studente di informatica e matematica ad Harvard, il social network non solo non ricompensa, ma addirittura punisce chi scopre delle vulnerabilità.

Lo scorso maggio Khanna pubblicò un'estensione per Chrome che permetteva di tracciare accuratamente gli spostamenti di tutti gli utenti di Facebook Messenger: sfruttava il fatto che, per impostazione predefinita, Messenger condivide con chiunque la posizione.

L'estensione, dall'appropriato nome di Marauder's Map (la Mappa del Malandrino di Harry Potter), ottenne subito un discreto successo, tanto da attirare l'attenzione di Facebook.

Il giorno successivo alla pubblicazione del post che annunciava l'esistenza dell'estensione sul blog privato di Khanna, un portavoce di Facebook contattò lo studente e gli chiese di non parlare con la stampa, pur non chiedendo la rimozione del post.

Facebook deve però averci pensato su ancora un po' perché il giorno seguente, via un'email, il social network chiese la rimozione dell'estensione, che nel frattempo era stata scaricata 85.000 volte; Khanna obbedì disattivando la funzionalità di geolocalizzazione.

Una settimana dopo, il social network rilasciò una nuova versione di Messenger, in cui cambiava la modalità di condivisione della posizione.

A prima vista sembrava che le cose fossero finite lì, ma in realtà la storia ha avuto un'evoluzione poco piacevole che è venuta a galla soltanto ora, dopo che lo studente ha pubblicato un elaborato sull'accaduto.

Tre giorni dopo la disattivazione dell'estensione Facebook si è infatti messa nuovamente in contatto con Khanna, dicendogli per telefono che il suo stage previsto per l'estate proprio presso il social network era stato cancellato.

Il motivo della cancellazione era che l'estensione violava le condizioni d'uso che gli utenti accettano iscrivendosi a Facebook e che il post di Khanna sul suo blog non rifletteva «gli elevati standard etici» circa la privacy degli utenti che l'azienda si aspetta dagli stagisti.

Uno screenshot della Marauder's Map

Il problema "etico" - spiega Khanna - non era dovuto tanto all'estensione quanto al fatto che nel post si descriveva il modo in cui Facebook raccoglie e condivide le informazioni di geolocalizzazione degli utenti.

Secondo Facebook, il resoconto fatto dallo studente non è corretto e presenta soltanto una visione distorta della storia, affermado che l'estensione approfittava «dei dati di Facebook in un modo che viola le nostre condizioni, e tali condizioni esistono per proteggere la privacy e la sicurezza delle persone». Dato che Aran Khanna non ha tolto l'estensione ma l'ha soltanto disabilitata, Facebook ha ritenuto che egli stesse consapevolmente violando tali condizioni.

Sarebbero quindi questi i motivi che hanno portato alla cancellazione dello stage: «Non cacciamo i dipendenti perché rendono note le falle relative alla privacy, ma prendiamo molto sul serio quando qualcuno usa male i dati degli utenti e mette in pericolo le persone».

Comunque stiano le cose, restano valide le riflessioni di Aran Khanna: senza la sua estensione e l'attenzione che la stampa gli ha dedicato, l'utente comune avrebbe mai conosciuto il livello raggiunto dalla raccolta dati operata da Facebook, e Facebook stessa avrebbe mai posto rimedio al problema di Messenger?

«Possiamo ragionevolmente aspettarci che Facebook o altri soggetti che abbiano interesse a raccogliere e condividere dati personali siano dei guardiani della privacy di cui ci si può fidare?» si chiede lo studente.