Ennesimo colpo alla privacy degli utenti di Facebook: l'ultima scoperta l'ha fatta in queste ore la società di analisi informatica UpGuard, che ha trovato in due banche dati online separate le informazioni raccolte dagli sviluppatori alcune app collegate a Facebook e riguardanti diversi milioni di account iscritti al social network. Le app incriminate sono state utilizzate per anni dai loro creatori per fare man bassa di dati sulle persone che decidevano di installarle — un'attività che di per sé non è vietata dal regolamento di Facebook; quel che è peggio (e in violazione dei termini del social) è che i risultati di questa attività erano stoccati su server non protetti, potenzialmente a disposizione di chiunque.

I due database

Delle due scoperte, la banca dati di dimensioni maggiori è quella messa in piedi dall'azienda messicana Cultura Colectiva: si tratta di un archivio da 146 gigabyte comprensivo di 540 milioni di voci differenti, che includevano commenti, like a post e foto, reazioni, nomi degli account con relativi numeri identificativi e molto altro. Il secondo archivio era generato dai dati raccolti dall'app At the Pool, coinvolge solo 22.000 utenti ma li mette potenzialmente più a rischio di future violazioni: tra i dati stoccati su queste persone infatti sono comprese infatti le password di accesso all'app, che in molti casi saranno state sicuramente uguali a quelle usate per accedere ad altri servizi.

Non sono dati rubati

Ad accomunare i due archivi c'è il fatto che non si tratta di forzieri colmi di dati rubati, ma di informazioni fornite volontariamente dagli utenti, anche se forse inconsapevolmente. In modo simile a quanto avvenuto nel caso Cambridge Analytica, le app in questione hanno infatti chiesto agli utenti il permesso di accedere alle loro informazioni: sono stati gli utenti che, tentati dall'accesso all'app o al gioco del momento, hanno fornito il consenso, pensando che i propri dati sarebbero rimasti al sicuro entro i confini di Facebook. Purtroppo — come ha dimostrato questa vicenda — sembra proprio che Facebook non avesse controllo su questo aspetto.

Il controllo (mancato) di Facebook

Una volta che viene fornito ad aziende terze il consenso ad accedere a queste informazioni, sembra infatti che nulla vieti loro di stoccarle con modalità che di sicuro hanno ben poco. Conta poco il fatto che la disponibilità pubblica dei dati fosse dovuta a un errore di configurazione dei server, né che Facebook sia intervenuta prontamente una volta messa a conoscenza della vicenda: ormai il danno è fatto. Non è chiaro ad esempio per quanto tempo i database siano rimasti disponibili in questa modalità né quante persone li abbiano scoperti, visionati e replicati con calma prima che ci sia arrivata UpGuard.