21 Aprile 2021
10:23

Un nuovo bug di Facebook ha permesso di rubare i dati di milioni di utenti ogni giorno

Partendo da un indirizzo email era possibile risalire al nome e al cognome di ogni iscritto a Facebook, e con un archivio di email sufficientemente ampio a disposizione si potevano estrarre dal social anche più di 5 milioni di identità ogni giorno. Gli archivi così ottenuti possono essere utilizzati per truffe e raggiri online.
A cura di Lorenzo Longhitano

Sono passati pochi giorni dalla scoperta di un enorme archivio da mezzo miliardo di numeri di telefono di utenti Facebook pubblicato online gratuitamente, ma il social network è già finito nel mezzo di un altro scandalo a tema privacy. Secondo quanto rivelato da un ricercatore e verificato da Ars Technica, la piattaforma è stata affetta fino a poche ore fa da un bug che permetteva di risalire al nome e al cognome di tutti gli utenti del social partendo semplicemente dal loro indirizzo email. Il sistema è stato utilizzato per compilare archivi in cui questi dati vengono accoppiati e rivenduti allo scopo di organizzare campagne di phishing e altre truffe su larga scala.

Svelati i proprietari degli indirizzi email

Il bug di Facebook permetteva di risalire ai proprietari di un profilo semplicemente fornendo l'indirizzo email utilizzato per l'iscrizione, e lo faceva a prescindere dal fatto che questo dato fosse stato impostato come pubblico o meno; il problema ha esposto il social a pratiche di scraping, nelle quali gli hacker si sono dedicati – pazientemente e con l'aiuto di software e profili falsi – a compilare banche dati di indirizzi email associati a nomi e cognomi di dimensioni potenzialmente sterminate. Per dimostrare la pericolosità del bug, il ricercatore ha compilato in prima persona un software capace di sfruttare il bug: fornendo al sistema una lista di indirizzi noti, il programma può restituire fino a 5 milioni di nomi e cognomi ogni giorno.

Porte aperte alle truffe

Secondo quanto racconta il ricercatore, il bug era noto all'interno della comunità degli hacker, ed è stato utilizzato fino a pochi giorni fa per numerose attività, compresa la compilazione di banche dati di potenziali vittime di truffe. Sapere con precisione a chi appartiene un indirizzo email consente infatti di rivolgersi con nome e cognome ai destinatari di messaggi automatizzati, e permette di impersonare enti pubblici, banche e altri soggetti con più credibilità. Non solo: questi archivi si possono fondere con la banca dati da mezzo miliardo di numeri di telefono e nomi trapelata online nei giorni scorsi, per creare profili ancora più completi e facili da raggirare.

Facebook sapeva

Il motivo per cui l'informazione è finita nelle mani della stampa sembra essere che Facebook non ha voluto intervenire al riguardo: il ricercatore ha raccontato di essersi rivolto al social tempo fa con le prove dell'esistenza e della pericolosità del bug, ma di essersi sentito rispondere che non avrebbero preso alcun provvedimento per risolvere il problema. Dopo la pubblicazione dell'allerta da parte della testata, i tecnici del social hanno chiuso la falla e Facebook ha spiegato l'inconveniente con una chiusura erronea della pratica in anticipo sui tempi di risoluzione, ringraziando il ricercatore per le informazioni fornite.

L'email interna: "Minimizzare"

La scoperta del problema e la risposta di Facebook giungono a loro volta a poche ore di distanza da un altro scivolone a tema privacy del quale si parlerà nei prossimi giorni: una email mandata per errore a un giornalista della testata olandese DataNews, e in realtà diretta ai dipendenti di Facebook. Nel memo a uso interno viene spiegato agli addetti come trattare le notizie relative alle fughe di dati degli utenti che derivano da attività di scraping: tra le indicazioni che faranno discutere emerge quanto sia "importante raccontare che questi problemi riguardano anche le altre aziende, minimizzando il fenomeno dello scraping derubricandolo ad attività che si verificano regolarmente".

Da una parte in effetti il problema dello scraping è endemico online fin dall'invenzione di Internet: rastrellare informazioni pubblicamente disponibili su social, pagine e motori di ricerca può portare a compilare banche dati di grande valore per hacker e truffatori. Non trattandosi di attività di hacking durante le quali vengono rubate informazioni protette – ma semplicemente di collezione di informazioni già disponibili – Facebook e altri soggetti tendono a minimizzare questi incidenti; d'altro canto però realtà come i social network custodiscono quantità inimmaginabili di dati sensibili, e dovrebbero avere una responsabilità particolare nel proteggere gli utenti da questo tipo di attività, o per lo meno renderne chiari i rischi.

"Utenti Facebook spiati sul social da dozzine di dipendenti": l'accusa nel libro-inchiesta
"Utenti Facebook spiati sul social da dozzine di dipendenti": l'accusa nel libro-inchiesta
Rubati i dati di 36 milioni di profili Facebook, ecco quali (e cosa possono farci)
Rubati i dati di 36 milioni di profili Facebook, ecco quali (e cosa possono farci)
"Attenzione alle telefonate truffa": allarme del Garante Privacy sui dati rubati da Facebook
"Attenzione alle telefonate truffa": allarme del Garante Privacy sui dati rubati da Facebook
Lascia un commento!
Più che un giornale
Il media che racconta il tempo in cui viviamo con occhi moderni