26 Aprile 2021
Facebook non pianifica di avvisare gli utenti coinvolti nell'ultimissimo, gigantesco episodio di furto di dati personali, verificatosi proprio il giorno di Pasqua: un portavoce della società ha detto a Reuters che primo, non è sicura di sapere con precisione quali utenti avvisare; secondo, che tanto l'utente non potrebbe farci nulla. Fortunatamente, un metodo per verificare se i propri dati personali sono finiti online c'è: basta dirigersi su Have I Been Pwned e inserire il numero di telefono in formato internazionale (esempio: +393401122333).
Nelle scorse ore, Facebook ha anche pubblicato un post sul proprio blog ufficiale spiegando tutti i "fatti" su quanto accaduto. Viene detto che le informazioni non sono state rubate penetrando i sistemi di Facebook, ma abusando di una funzione che non è più disponibile da settembre 2019. Che si tratti di attacco hacker o di scraping, però, all'utente non cambia molto: i dati personali di 533 milioni di persone, tra cui numeri di telefono, nomi, indirizzi e molto altro sono comunque finiti in Rete e sono liberamente accessibili a tutti.
TUTTO NASCE DALL'IMPORTAZIONE DEI CONTATTI
La funzione a cui si riferisce Facebook è quella di importazione dei contatti: l'utente poteva trovare i propri amici su Facebook partendo semplicemente dal numero di telefono. Ma non c'è voluto molto prima che i truffatori capissero come abusare del servizio e rubare quantità enormi di dati personali: banalmente, basta creare una rubrica con tutte le possibili combinazioni di numeri di telefono, se la piattaforma non implementa un limite di contatti importabili.
Facebook ci tiene a precisare che la quantità di informazioni generate da questo tipo di abuso è "limitata", e che non include dati cruciali come password, informazioni di pagamento o sanitarie; ma è vero che oggi il numero di telefono è un dato sempre più fondamentale per la sicurezza online delle persone - pensiamo all'autenticazione a due fattori, per esempio i "codici di conferma" inviati per SMS.
Facebook, quindi, ritiene anche che i dati sono vecchi e non necessariamente aggiornati. Ma è vero che una persona non cambia numero di telefono (o nome, se è per questo) troppo spesso. La società sostanzialmente afferma che ormai la frittata è fatta e che la funzionalità da cui si ritiene provengano i dati rubati è stata già tolta da un anno e mezzo circa. Per il resto, Facebook dice che si sta impegnando per far sì che il database venga messo offline, ma pare ormai un'impresa impossibile.
UNA SITUAZIONE CHE RIMANE POCO CHIARA
Per molti esperti di sicurezza, tuttavia, la risposta di Facebook all'accaduto è stata lacunosa e la situazione rimane poco chiara. Per cominciare, è difficile essere certi al 100% dell'origine di quei dati: primo, perché Facebook è stata al centro di numerosi scandali privacy nel corso degli anni, secondo perché i database pirata vengono costantemente modificati, duplicati, fusi con altri e rielaborati. Questo potrebbe avere ripercussioni anche sulle indagini delle autorità per capire se quest'ultimo avvenimento rappresenta una violazione del GDPR, la legge europea sulla privacy, che potrebbe costare a Facebook somme di denaro ingenti.
È interessante riportare a questo riguardo che il garante della privacy irlandese dice di non aver ricevuto comunicazione proattiva da parte di Facebook. Dopo svariati tentativi di contatto attraverso vari canali, la società ha fatto sapere alla DPC che l'accaduto ha la massima priorità e di offrire piena collaborazione; ci ha tuttavia tenuto a precisare anche in questa sede che i dati sono stati raccolti da terze parti e che il database potrebbe anche includere informazioni provenienti da altre fonti.
IL RAPPORTO AMBIGUO CON LO SCRAPING
Tra l'altro Facebook dice che la pratica dello scraping, ovvero la raccolta di informazioni "semipubbliche" attraverso l'abuso di funzioni e piattaforme online al fine di raccogliere database giganteschi, rappresenta una violazione del regolamento, ma non sembra che sia stata, e non sia ancora adesso, particolarmente attenta nel contrastarlo: per esempio, è stato dimostrato che app di riconoscimento del volto come ClearView AI, usata anche dalle forze di polizia, ha creato il suo database proprio attraverso lo scraping su Facebook e Instagram; tuttavia, Facebook non ha mai fatto causa o anche solo condannato pubblicamente la società.
Over the last year, I have asked Facebook more than a dozen times if it will take legal action against Clearview AI for scraping what is likely millions of photos from Instagram and Facebook. No lawsuits have been filed and FB has said nothing on record.https://t.co/htkKCD5bT0
— Ryan Mac🙃 (@RMac18) April 7, 2021
UNA LISTA CHE CONTINUA A CRESCERE
Più passa il tempo più crescono gli episodi di fughe di dati (prevalentemente causate proprio dallo scraping) con protagonista le piattaforme controllate da Facebook. Alcuni esempi:
- A dicembre 2019 era stato avvistato un database con 267 milioni di record, contenente tra l'altro ID univoci, numeri di telefono e nomi.
- A settembre 2019 TechCrunch aveva scoperto l'esistenza di un database di 419 milioni di record, creato nel 2018 grazie alla mancata protezione da password di un server.
- Ad aprile 2019 la società di sicurezza UpGuard aveva riportato un database contenente 540 milioni di record, tra cui ID univoci Facebook, informazioni su commenti, like e reazioni.
- Nel 2018 era scoppiato lo scandalo Cambridge Analytica, che visto con gli occhi di oggi si perde un po' nel marasma: "solo" 80 milioni di account compromessi, sempre per colpa della poca attenzione con cui Facebook ha regolamentato e monitorato la condivisione di dati con terze parti.
- Sempre nel 2018 altri 30 milioni di account erano stati compromessi a causa della funzione "visualizza come".
Commenti
No, è obbligatorio adeguarsi al GDPR anche se i termini accettati in precedenza erano diversi.
Lol..
Piccolo consiglio (per limitare i danni) prima di cancellare l'account fate girare qualche script (javascript - greese/tapermonkey) per delinkare/eliminare contenuti..
Prima si ripulisce, poi si cancella l'account.
Nessuno però ci da la certezza di qualche backup/DSR dove i dati sono ancora presenti..
Ricordo che questa cosa era ben specifica quando ti registravi non vorrei che avendo accettato all'inizio questa cosa in pratica annulli il GDPR.
Certo, ma da quando c'è il GDPR "dovrebbero" cancellare del tutto i dati.
Si arrampicano sugli specchi quelli di Facebook perchè se gli hacker sono riusciti ad ottenere i numeri di telefono vuol dire che il sistema è stato bucato, punto
Dipendeva dal linguaggio di programmazione l'utilizzo del singolo ugale per l'uguaglianza, non per l'assegnazione.
Tu devi essere divertente nelle serate tra amici. Per il futuro: la lista in stile Salvini e l'affermazione finale in palese contrasto con il corpo del testo potrebbero essere validi indizi per determinare discorsi ironici/sarcastici/barzellette.
Infatti ormai l'autenticazione a 2 fattori tramite SMS è fortemente sconsigliata e se non erro con le nuove normative per le banche è proprio vietata...
In tutti i casi non è così semplice clonare una sim avendo solo il numero di telefono, anche perchè se fosse così dovresti stare attento anche a chi lo dai tu.
Sarcasmo, questo sconosciuto...
infinokkiato il numero.... e echecazzopero'....
La difesa è peggio del danno... Son senza vergogna proprio...
ma dove, nei film forse? quale persona comune rischierebbe il lavoro per la galera per quattro soldi
nessun software è esente da bug: pollo tu che hai messo online "le mie foto, quelle della mia casa, dei miei cari e dei loro amici, del
mio lavoro, delle mie vacanze, delle mie abitudini, delle mie idee
politiche , della mia religione, e i video della mia colonscopia"
che iattura questo FB... comunque grazie a quei file son riuscito a sapere il num di tel della famosa "ragazza dai capelli rossi" che tanto mi piace :D
E' un po' di tempo che non scrivo codice, da quanto ricordo dipendeva dal linguaggio di programmazione.
Qualunquemente.
Non è la stessa cosa, non fare qualunquismo.
o installando spyware sul telefono della vittima o con antenne collegate ad analizzatori/intercettatori gsm
Forse hanno capito che i dati li hanno rubati gli hacker di WhatsApp e ora possono incrociare i database
Si, ma in teoria l'addetto non dovrebbe avere accesso al database completo del gestore di telefonia
Cancelli l'account non i dati caricati con esso. In pratica blocchi/congeli la possibilità di accedere al tuo account
Mammamia quante storie se fb ha perso i numeri di telefono basta che li richieda alle persone xD
Comunque non mi va che il sito dove ho esposto a tutti le mie foto, quelle della mia casa, dei miei cari e dei loro amici, del mio lavoro, delle mie vacanze, delle mie abitudini, delle mie idee politiche , della la mia religione, e i video della mia colonscopia, si perda i miei dati come fosse niente.
Ci tengo alla mia privacy io.
Non basta corrompere un addetto in un negozio di telefonia? Dopo 48 ore il malcapitato si ritrova senza servizio senza saperne il motivo.
E' un eventualità molto difficile e di cui il 99,99% di noi non dovrebbe preoccuparsi, ma gli sms in teoria possono essere intercettati..
avere solo il numero di telefono non è sufficiente per clonare la sim
Mai. Non prima di uno o due dececenni almeno. I social sono il web attuale.
"""""cancellato"""""
In prospettiva è estremamente pericolo per l'autenticazione a due fattori tramite SMS.
Mannaggia si sono presi il numero della sim che ho comprato da uno barbone l’anno scorso.
Mah, fino a 10-15 anni fa si usava inserire tutti i numeri fissi con nomi e indirizzi pubblicamente negli elenchi telefonici.
Adesso come allora al limite chiamerà qualche rompib4lle compresi call center
Ok il mio numero è stato leakato, e ora cosa dovrei fare? Cambiarlo?
curioso di sapere da un esperto di economia come mai dopo questo scandalo le azioni salgono invece di scendere
Sono passati molti anni, l'email e il telefono che usavo allora sono finiti in più di un leak (non solo di Facebook), mentre quelli attuali in nessuno.
Tu scherzi, ma se hai il link diretto a una foto su Facebook e la cancelli, se usi quel link puoi vederla lo stesso (e come te, chiunque abbia il link).
Sono l'unico in famiglia a non avere il numero di telefono "pwned", sia in questo caso che in quello di ho. mobile (ho WindTre)
Zucchina hai proprio rotto i co....
"Ormai la frittata è fatta" è una colossale caz..a. meritate di fallire malamente
Hanno leakato la funziona per cancellare gli account:
Delete account {
Account.visible == false
}
finita la funzione di cancellazione
Controlla comunque, perchè alcuni si sono ritrovati dentro al leak nonostante avessero cancellato l'account e chiesto la rimozione di tutti i dati.
CancAHAHAHAH
Fiero di aver cancellato il mio account diversi anni fa una volta terminata l'università.
Guarda i risultati in borsa... sono allibito
So io come passano il tempo quei p**ci dei programmatori - questo spiega anche del perchè lo sviluppo sia fermo - impegnati a fare altro.
Dai ragazzi, ora ripetete con me: Whatsapp è sicuro perchè usa la crittografia e2e e non possono leggere i vostri messaggi!
Quando stup1dità e voglia di apparire finiranno.
Scandali su scandali, ma quand'è che chiude baracca?
Fedeltà sta a p****na come sicurezza sta a Facebook.
"banalmente, basta creare una rubrica con tutte le possibili combinazioni di numeri di telefono, se la piattaforma non implementa un limite di contatti importabili."
Sembra una barzelletta...
Faccialibro si tiene in piedi sfruttando le informazioni dei propri utenti nelle maniere più fantasiose ed essere sulla loro piattaforma coincide col dare in pasto i propri dati per gli usi più disparati e vari possibile. Il metodo risolutivo è semplicemente non usare quello skif0.