Facebook, le ultime notizie sullo scandalo privacy di Pasqua

08 Aprile 2021 50

Facebook non pianifica di avvisare gli utenti coinvolti nell'ultimissimo, gigantesco episodio di furto di dati personali, verificatosi proprio il giorno di Pasqua: un portavoce della società ha detto a Reuters che primo, non è sicura di sapere con precisione quali utenti avvisare; secondo, che tanto l'utente non potrebbe farci nulla. Fortunatamente, un metodo per verificare se i propri dati personali sono finiti online c'è: basta dirigersi su Have I Been Pwned e inserire il numero di telefono in formato internazionale (esempio: +393401122333).

Nelle scorse ore, Facebook ha anche pubblicato un post sul proprio blog ufficiale spiegando tutti i "fatti" su quanto accaduto. Viene detto che le informazioni non sono state rubate penetrando i sistemi di Facebook, ma abusando di una funzione che non è più disponibile da settembre 2019. Che si tratti di attacco hacker o di scraping, però, all'utente non cambia molto: i dati personali di 533 milioni di persone, tra cui numeri di telefono, nomi, indirizzi e molto altro sono comunque finiti in Rete e sono liberamente accessibili a tutti.

TUTTO NASCE DALL'IMPORTAZIONE DEI CONTATTI

La funzione a cui si riferisce Facebook è quella di importazione dei contatti: l'utente poteva trovare i propri amici su Facebook partendo semplicemente dal numero di telefono. Ma non c'è voluto molto prima che i truffatori capissero come abusare del servizio e rubare quantità enormi di dati personali: banalmente, basta creare una rubrica con tutte le possibili combinazioni di numeri di telefono, se la piattaforma non implementa un limite di contatti importabili.

Facebook ci tiene a precisare che la quantità di informazioni generate da questo tipo di abuso è "limitata", e che non include dati cruciali come password, informazioni di pagamento o sanitarie; ma è vero che oggi il numero di telefono è un dato sempre più fondamentale per la sicurezza online delle persone - pensiamo all'autenticazione a due fattori, per esempio i "codici di conferma" inviati per SMS.

Facebook, quindi, ritiene anche che i dati sono vecchi e non necessariamente aggiornati. Ma è vero che una persona non cambia numero di telefono (o nome, se è per questo) troppo spesso. La società sostanzialmente afferma che ormai la frittata è fatta e che la funzionalità da cui si ritiene provengano i dati rubati è stata già tolta da un anno e mezzo circa. Per il resto, Facebook dice che si sta impegnando per far sì che il database venga messo offline, ma pare ormai un'impresa impossibile.

UNA SITUAZIONE CHE RIMANE POCO CHIARA

Per molti esperti di sicurezza, tuttavia, la risposta di Facebook all'accaduto è stata lacunosa e la situazione rimane poco chiara. Per cominciare, è difficile essere certi al 100% dell'origine di quei dati: primo, perché Facebook è stata al centro di numerosi scandali privacy nel corso degli anni, secondo perché i database pirata vengono costantemente modificati, duplicati, fusi con altri e rielaborati. Questo potrebbe avere ripercussioni anche sulle indagini delle autorità per capire se quest'ultimo avvenimento rappresenta una violazione del GDPR, la legge europea sulla privacy, che potrebbe costare a Facebook somme di denaro ingenti.

È interessante riportare a questo riguardo che il garante della privacy irlandese dice di non aver ricevuto comunicazione proattiva da parte di Facebook. Dopo svariati tentativi di contatto attraverso vari canali, la società ha fatto sapere alla DPC che l'accaduto ha la massima priorità e di offrire piena collaborazione; ci ha tuttavia tenuto a precisare anche in questa sede che i dati sono stati raccolti da terze parti e che il database potrebbe anche includere informazioni provenienti da altre fonti.

IL RAPPORTO AMBIGUO CON LO SCRAPING

Tra l'altro Facebook dice che la pratica dello scraping, ovvero la raccolta di informazioni "semipubbliche" attraverso l'abuso di funzioni e piattaforme online al fine di raccogliere database giganteschi, rappresenta una violazione del regolamento, ma non sembra che sia stata, e non sia ancora adesso, particolarmente attenta nel contrastarlo: per esempio, è stato dimostrato che app di riconoscimento del volto come ClearView AI, usata anche dalle forze di polizia, ha creato il suo database proprio attraverso lo scraping su Facebook e Instagram; tuttavia, Facebook non ha mai fatto causa o anche solo condannato pubblicamente la società.

UNA LISTA CHE CONTINUA A CRESCERE

Più passa il tempo più crescono gli episodi di fughe di dati (prevalentemente causate proprio dallo scraping) con protagonista le piattaforme controllate da Facebook. Alcuni esempi:

  • A dicembre 2019 era stato avvistato un database con 267 milioni di record, contenente tra l'altro ID univoci, numeri di telefono e nomi.
  • A settembre 2019 TechCrunch aveva scoperto l'esistenza di un database di 419 milioni di record, creato nel 2018 grazie alla mancata protezione da password di un server.
  • Ad aprile 2019 la società di sicurezza UpGuard aveva riportato un database contenente 540 milioni di record, tra cui ID univoci Facebook, informazioni su commenti, like e reazioni.
  • Nel 2018 era scoppiato lo scandalo Cambridge Analytica, che visto con gli occhi di oggi si perde un po' nel marasma: "solo" 80 milioni di account compromessi, sempre per colpa della poca attenzione con cui Facebook ha regolamentato e monitorato la condivisione di dati con terze parti.
  • Sempre nel 2018 altri 30 milioni di account erano stati compromessi a causa della funzione "visualizza come".

50

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
Stefano

No, è obbligatorio adeguarsi al GDPR anche se i termini accettati in precedenza erano diversi.

guest

Lol..

Piccolo consiglio (per limitare i danni) prima di cancellare l'account fate girare qualche script (javascript - greese/tapermonkey) per delinkare/eliminare contenuti..
Prima si ripulisce, poi si cancella l'account.
Nessuno però ci da la certezza di qualche backup/DSR dove i dati sono ancora presenti..

ghost

Ricordo che questa cosa era ben specifica quando ti registravi non vorrei che avendo accettato all'inizio questa cosa in pratica annulli il GDPR.

Stefano

Certo, ma da quando c'è il GDPR "dovrebbero" cancellare del tutto i dati.

yepp

Si arrampicano sugli specchi quelli di Facebook perchè se gli hacker sono riusciti ad ottenere i numeri di telefono vuol dire che il sistema è stato bucato, punto

Alessio Ferri

Dipendeva dal linguaggio di programmazione l'utilizzo del singolo ugale per l'uguaglianza, non per l'assegnazione.

Alessio Ferri

Tu devi essere divertente nelle serate tra amici. Per il futuro: la lista in stile Salvini e l'affermazione finale in palese contrasto con il corpo del testo potrebbero essere validi indizi per determinare discorsi ironici/sarcastici/barzellette.

csharpino

Infatti ormai l'autenticazione a 2 fattori tramite SMS è fortemente sconsigliata e se non erro con le nuove normative per le banche è proprio vietata...
In tutti i casi non è così semplice clonare una sim avendo solo il numero di telefono, anche perchè se fosse così dovresti stare attento anche a chi lo dai tu.

csharpino

Sarcasmo, questo sconosciuto...

Vash

infinokkiato il numero.... e echecazzopero'....

Dike Inside

La difesa è peggio del danno... Son senza vergogna proprio...

Portobello

ma dove, nei film forse? quale persona comune rischierebbe il lavoro per la galera per quattro soldi

Portobello

nessun software è esente da bug: pollo tu che hai messo online "le mie foto, quelle della mia casa, dei miei cari e dei loro amici, del
mio lavoro, delle mie vacanze, delle mie abitudini, delle mie idee
politiche , della mia religione, e i video della mia colonscopia"

Portobello

che iattura questo FB... comunque grazie a quei file son riuscito a sapere il num di tel della famosa "ragazza dai capelli rossi" che tanto mi piace :D

Ansem The Seeker Of Darkness

E' un po' di tempo che non scrivo codice, da quanto ricordo dipendeva dal linguaggio di programmazione.

giovanni cordioli

Qualunquemente.

Edoardo Motta

Non è la stessa cosa, non fare qualunquismo.

trodert

o installando spyware sul telefono della vittima o con antenne collegate ad analizzatori/intercettatori gsm

Mistizio

Forse hanno capito che i dati li hanno rubati gli hacker di WhatsApp e ora possono incrociare i database

trodert

Si, ma in teoria l'addetto non dovrebbe avere accesso al database completo del gestore di telefonia

ghost

Cancelli l'account non i dati caricati con esso. In pratica blocchi/congeli la possibilità di accedere al tuo account

ghost

Mammamia quante storie se fb ha perso i numeri di telefono basta che li richieda alle persone xD

giovanni cordioli

Comunque non mi va che il sito dove ho esposto a tutti le mie foto, quelle della mia casa, dei miei cari e dei loro amici, del mio lavoro, delle mie vacanze, delle mie abitudini, delle mie idee politiche , della la mia religione, e i video della mia colonscopia, si perda i miei dati come fosse niente.
Ci tengo alla mia privacy io.

xAlien95

Non basta corrompere un addetto in un negozio di telefonia? Dopo 48 ore il malcapitato si ritrova senza servizio senza saperne il motivo.

Edoardo Motta

E' un eventualità molto difficile e di cui il 99,99% di noi non dovrebbe preoccuparsi, ma gli sms in teoria possono essere intercettati..

trodert

avere solo il numero di telefono non è sufficiente per clonare la sim

Edoardo Motta

Mai. Non prima di uno o due dececenni almeno. I social sono il web attuale.

Edoardo Motta

"""""cancellato"""""

Edoardo Motta

In prospettiva è estremamente pericolo per l'autenticazione a due fattori tramite SMS.

giovanni cordioli

Mannaggia si sono presi il numero della sim che ho comprato da uno barbone l’anno scorso.

trodert

Mah, fino a 10-15 anni fa si usava inserire tutti i numeri fissi con nomi e indirizzi pubblicamente negli elenchi telefonici.
Adesso come allora al limite chiamerà qualche rompib4lle compresi call center

Daniel
trodert

Ok il mio numero è stato leakato, e ora cosa dovrei fare? Cambiarlo?

trodert

curioso di sapere da un esperto di economia come mai dopo questo scandalo le azioni salgono invece di scendere

Stefano

Sono passati molti anni, l'email e il telefono che usavo allora sono finiti in più di un leak (non solo di Facebook), mentre quelli attuali in nessuno.

Stefano

Tu scherzi, ma se hai il link diretto a una foto su Facebook e la cancelli, se usi quel link puoi vederla lo stesso (e come te, chiunque abbia il link).

momentarybliss

Sono l'unico in famiglia a non avere il numero di telefono "pwned", sia in questo caso che in quello di ho. mobile (ho WindTre)

Roberto

Zucchina hai proprio rotto i co....
"Ormai la frittata è fatta" è una colossale caz..a. meritate di fallire malamente

Ansem The Seeker Of Darkness

Hanno leakato la funziona per cancellare gli account:
Delete account {

Account.visible == false
}

finita la funzione di cancellazione

Gabriele

Controlla comunque, perchè alcuni si sono ritrovati dentro al leak nonostante avessero cancellato l'account e chiesto la rimozione di tutti i dati.

Daniel

CancAHAHAHAH

Stefano

Fiero di aver cancellato il mio account diversi anni fa una volta terminata l'università.

Vittorio

Guarda i risultati in borsa... sono allibito

Daniel

So io come passano il tempo quei p**ci dei programmatori - questo spiega anche del perchè lo sviluppo sia fermo - impegnati a fare altro.

Ansem The Seeker Of Darkness

Dai ragazzi, ora ripetete con me: Whatsapp è sicuro perchè usa la crittografia e2e e non possono leggere i vostri messaggi!

JJ

Quando stup1dità e voglia di apparire finiranno.

STAFF

Scandali su scandali, ma quand'è che chiude baracca?

Daniel

Fedeltà sta a p****na come sicurezza sta a Facebook.

L0RE15

"banalmente, basta creare una rubrica con tutte le possibili combinazioni di numeri di telefono, se la piattaforma non implementa un limite di contatti importabili."

Sembra una barzelletta...

JJ

Faccialibro si tiene in piedi sfruttando le informazioni dei propri utenti nelle maniere più fantasiose ed essere sulla loro piattaforma coincide col dare in pasto i propri dati per gli usi più disparati e vari possibile. Il metodo risolutivo è semplicemente non usare quello skif0.

Snapdragon 888 vs Exynos 2100: qual è il migliore?

Echo 4° generazione vs Nest Audio: quale scegliere? Tutte le differenze

Il confrontone 2021: Galaxy S21 Ultra vs iPhone 12 Pro Max, Find X3 Pro e Mi 11 5G

5G Standalone: cos'è e quali sono le differenze rispetto all'attuale 5G