In questi mesi Facebook sta tentando di proporsi agli occhi del mondo come un'azienda attenta alla privacy dei suoi utenti, ma gli errori fatti in passato sono destinati a compromettere questi sforzi ancora per molto tempo. A dimostrarlo c'è una recente scoperta fatta da Comparitech in collaborazione con il ricercatore informatico Bob Diachenko, che insieme hanno individuato online una banca dati contenente 267 milioni di numeri di telefono di utenti Facebook, custoditi in un forum di discussione senza alcuna misura di sicurezza e dunque a disposizione potenzialmente di chiunque.

Per la precisione l'enorme archivio è stato scovato all'interno di un forum dedicato agli hacker; la pubblicazione risale all'inizio del mese e dopo la scoperta la banca dati è già stata rimossa, ma quella scoperta in questi giorni potrebbe essere semplicemente di una copia di uno o più database già in circolazione da tempo. Oltre al fatto che non si sa da quanto tempo questi dati siano stati pubblicati ci sono però altri motivi per cui i proprietari degli account colpiti dovrebbero preoccuparsi.

Il primo è il fatto che oltre a ciascun numero di telefono sono associati non solo il nome e il cognome del proprietario, ma anche l'ID di Facebook, ovvero il numero identificativo che permette di risalire esattamente al profilo della persona in questione. Chiunque voglia prendere di mira un utente specifico con una truffa o una campagna di phishing potrebbe insomma partire da tutte le informazioni contenute nel profilo e lasciate pubbliche. Il secondo aspetto inquietante è che la banca dati scoperta non era stata messa in sicurezza: l'accesso ai numeri di telefono e ai profili Facebook abbinati non era dunque riservato a una ristretta cerchia di utenti ma lasciato letteralmente aperto a chiunque.

Le modalità con le quali questi numeri sono stati raccolti non sono chiare. Secondo le prove raccolte dai ricercatori alla base dell'operazione di raccolta c'è probabilmente un'organizzazione criminale vietnamita, che potrebbe aver fatto incetta di numeri in tre modi. Il primo è sfruttando una funzionalità di Facebook disattivata dalla società nel 2018, ovvero uno strumento che permetteva agli sviluppatori di app esterne di accedere ad alcuni dati degli utenti che le installavano, tra i quali appunto i nomi e i numeri di telefono; l'organizzazione avrebbe dunque creato miriadi di app fasulle con lo scopo di rastrellare le informazioni dei profili. La seconda possibilità è che l'organizzazione abbia sfruttato un bug di Facebook del quale nessuno è ancora a conoscenza e che mette a rischio queste informazioni in alcune condizioni particolari.

La terza possibilità è semplicemente che il gruppo abbia messo a punto un sistema automatizzato per trascrivere e salvare i numeri di telefono visibili sui profili degli utenti che hanno lasciato pubblica questa informazione: per evitare in futuro che un sistema simile possa restrellare le informazioni del proprio profilo si può accedere alle impostazioni della privacy di Facebook e lavorare sulle impostazioni della privacy, e in particolare sulle voci relative alla sezione "In che modo le persone ti trovano e ti contattano".