News

Facebook è a conoscenza di enormi perdite di dati dal 2019 ma non ha informato nessuno

Questo fine settimana, un hacker ha rilasciato i dati personali di 533 milioni di utenti di Facebook. Questo è senza dubbio uno dei leak più importanti nella storia del social network , che non è ancora al suo primo tentativo. Tra le informazioni pubblicate troviamo i nomi dei profili, i numeri di telefono e gli indirizzi email . Il gruppo di Mark Zuckerberg è intervenuto sull’argomento il 6 aprile nella persona di Mike Clark, direttore della gestione del prodotto.

Quest’ultimo riferisce che il difetto che ha causato la fuga di notizie è noto a Facebook dal 2019 . Sarebbe stato rapidamente collegato nell’agosto dello stesso anno. Ma resta un problema, poiché Mike Clark ammette che la violazione in questione non è stata denunciata , a differenza degli altri due casi simili venuti alla luce nei mesi successivi. Come promemoria, a settembre, abbiamo appreso che 419 milioni di numeri di telefono erano stati rilasciati in natura . A dicembre, questa volta erano 267 milioni di utenti il ​​cui numero era trapelato .

Leggi anche: Whatsapp: questi sono esattamente i dati che l’app condivide con Facebook

FACEBOOK NON HA MENZIONATO IL DIFETTO CHE HA CAUSATO LA VIOLAZIONE DEI DATI

Mike Clark spiega che gli hacker hanno utilizzato un difetto nella funzionalità di importazione dei contatti. Sebbene rilevato e corretto rapidamente, è impossibile sapere quante volte quest’ultimo è stato utilizzato. Fino ad allora, la comunicazione su questo incidente si è limitata a un breve commento in un articolo di Forbes, pubblicato a settembre 2019. A quel tempo, un ricercatore di sicurezza informatica ha individuato una vulnerabilità nella rubrica di Instagram. A cui Facebook ha risposto  “essere già a conoscenza del problema grazie a una scoperta interna”,  prima di assicurarsi che il problema fosse stato risolto.

Tuttavia, sembrerebbe che l’articolo di Forbes riguardi un difetto completamente diverso dall’ultimo , sebbene i due siano relativamente simili. Facebook quindi non ha effettivamente avvertito né le autorità né gli utenti che i loro dati erano stati potenzialmente rubati. La Commissione irlandese per la protezione dei dati conferma questo stato di cose indicando di “non aver ricevuto alcuna comunicazione proattiva da Facebook” su questo argomento.

“I database precedenti sono stati pubblicati nel 2019 e nel 2018 in seguito a un hack su larga scala del sito Web di Facebook, che secondo Facebook si è verificato tra giugno 2017 e aprile 2018, quando il social network ha risolto un difetto nella sua funzionalità per trovare i numeri di telefono  ”, spiega la Commissione . “Poiché l’hacking è avvenuto prima del GDPR [applicabile dal 2018, ndr], Facebook ha scelto di non notificarlo come violazione dei dati personali ai sensi del GDPR. Il database recentemente rilasciato sembra includere tutte le informazioni originali del 2018 (prima del GDPR) e essere combinato con altri dati, eventualmente raccolti in seguito. “

FACEBOOK SI GIUSTIFICA IN MODO PERICOLOSO

Il gruppo di Mark Zuckerberg, colpito anche lui dal leak , spiega di non aver ritenuto opportuno denunciare la falla perché, secondo lui, sul web esistono già moltissimi database di utenti . Inoltre, per sfruttare la vulnerabilità, è stato necessario trovare il numero di telefono della vittima a cui associare un nome. Per Facebook, non ci vuole altro per dire che non è responsabile per i numeri di telefono trapelati , il che spiega Mike Clark:  “È importante capire che i malintenzionati hanno ottenuto questi dati. Non hackerando i nostri sistemi, ma recuperandoli dalla nostra piattaforma prima di settembre 2019 “.

C’è quindi da fare una distinzione tra una funzionalità legittima ma non molto attenta e una vera falla nel sistema di dati. Resta da vedere se questa massiccia perdita sia il risultato dell’una o dell’altra. Tuttavia, la differenza non è molto grande per le vittime , che, in entrambi i casi, vedono le loro informazioni personali divulgate. Per gli hacker, la scoperta è simile: non importa quale sia lo strumento, poiché ha consentito la raccolta dei dati. Inoltre, ha reso possibile il collegamento tra i numeri di telefono e l’identità del suo proprietario , che probabilmente non ha mancato di portare ad altre violazioni della privacy.

“È un errore pensare che una vulnerabilità non sia importante solo perché non contiene password o altri dati estremamente sensibili” , ha affermato Zack Allen, direttore dell’intelligence sulle minacce di ZeroFox., Una società specializzata in sicurezza informatica. “È anche un errore dire che una situazione non è poi così grave solo perché si tratta di vecchi dati. Inoltre, oggi i numeri di telefono sono spesso usati come forma di autenticazione, il che può essere molto spaventoso [vista la situazione] ” .

Da parte sua, Facebook dice che è sul piede di guerra per riparare i danni causati dalla colpa – o “debolezza” a seconda del punto di vista. “Il nostro obiettivo è proteggere i dati dei nostri utenti lavorando a una soluzione per rimuoverli [dai siti su cui sono ospitati] e continueremo ad agire in modo aggressivo contro i malintenzionati che utilizzano i nostri strumenti per le ragioni sbagliate”, ha scritto Mike Clark. “Sebbene non possiamo sempre impedire la circolazione di questo database o la comparsa di nuovi, abbiamo un team dedicato a questo compito”.

Back to top button