Ancora un caso di violazione di dati personali per Facebook: un database contenente più di 267 milioni di user Id, numeri di telefono e nomi di utenti del social netowork è rimasto “esposto” per diversi giorni sul web, ovvero aperto e accessibile a tutti senza necessità di inserire password o ricorrere ad altre forme di autenticazione. Lo svela il sito tecnologico Comparitech che, in collaborazione con l’esperto di sicurezza Bob Diachenko, ha portato alla luce la banca dati. La prima apparizione sul web del database risale al 4 dicembre, dicono i ricercatori.
Un portavoce di Facebook ha fatto sapere che il database è ormai offline e che l’azienda sta “esaminando il problema”. L’azienda ritiene che si tratti di “informazioni ottenute molto probabilmente prima dei cambiamenti che abbiamo apportato negli ultimi anni per proteggere meglio le informazioni delle persone”. Facebook ha infatti modificato le regole sulle Api e l’accesso degli sviluppatori terzi ai numeri di telefono degli utenti nel 2018, alla luce dello scandalo Cambridge Analytica. I dati esposti sarebbero dunque vecchi di un paio d’anni.
Obiettivo spamming e phishing
Secondo Diachenko l’insieme di dati è molto probabilmente il risultato di un’operazione illegale sui dati di Facebook o un abuso sulle Api del social network da parte di cyber-criminali con sede in Vietnam. Le informazioni contenute nel database potrebbero essere per condurre ampie campagne di spamming o di phishing via Sms.
Diachenko ha immediatamente informato l’Internet service provider che gestisce l’indirizzo Ip del server per ottenere la rimozione dell’accesso al database; il database risulta inaccessibile dal 19 dicembre. Tuttavia i dati sono apparsi in un forum di hacker come download a partire dal 12 dicembre, mentre la scoperta e la conseguente richiesta di rimozione all’Isp da parte di Diachenko risale al 14 dicembre.
Una falla nelle Api di Facebook?
Non è del tutto chiaro ai ricercatori come i criminals abbiamo ottenuto user Id e numeri di telefono degli utenti di Facebook. Un’ipotesi è che i dati siano stati sottratti dalle Api – le interfacce di sviluppo software – di Facebook prima che l’azienda limitasse l’accesso ai numeri di telefono, nel 2018. Prima dell’anno scorso gli sviluppatori terzi potevano avere accesso completo ai numeri di telefono degli utenti del social media.
Un’altra ipotesi formulata da Diachenko è chhe le Api di Facebook abbiano una falla di sicurezza che permette ai criminali di accedere a nomi utente e numeri, nonostante le restrizioni imposte da Facebook lo scorso anno.
Infine, i dati potrebbero essere stati sottratti anche senza ricorrere alle Api di Facebook ma tramite l’operazione detta “scraping”, ovvero estrapolati dalle pagine dei profili che sono “pubbliche”. Nello scraping dei programmi automatizzati o bot setacciano un numero enorme di pagine web e copiano i dati di ciascuna in un database. Ovviamente lo scraping è una pratica illecita in base ai termini d’uso di Facebook.
Scivoloni sulla privacy
Dopo lo scandalo Cambridge Analytica Facebook è incorsa in altri problemi che hanno portato alla luce la difficoltà dell’azienda nel controllare a pieno gli usi sui dati personali degli utenti. A marzo Facebook ha reso noto che alcune centinaia di milioni di password dei suoi utenti erano memorizzate e visibili in chiaro da 20.000 dipendenti. A maggio l’azienda ha svelato che potrebbe aver“involontariamente caricato” gli indirizzi email di 1,5 milioni di nuovi utenti da maggio 2016. A settembre Facebook ha annunciato di aver individuato 400 sviluppatori che non rispettavano le sue linee guida sulla protezione dei dati e ha provveduto a bloccare le loro app, che sono alcune decine di migliaia.