Ennesimo allarme sicurezza correlato alle attività del social network di Mark Zuckerberg.
Una vasta raccolta di dati di utenti Facebook è stata esposta al pubblico fino a poco tempo fa su un server di Amazon. A scoprirlo i ricercatori di UpGuard, società di cybersecurity, grazie al ritrovamento di un database contenente i dati Facebook di 540 milioni di persone.
Questi dati, che includevano informazioni sensibili come amici degli utenti, Mi piace, musica, foto, eventi, interessi e check-in, sarebbero stati arichiviati da Cultura Cultiva, una società messicana di media.
Inoltre sempre i ricercatori hanno dichiarato che un’altra app chiamata ‘At the pool’ abbia memorizzato password di Facebook non protette per 22.000 utenti.
UpGuard ha dichiarato di aver provveduto a informare Facebook e Amazon lo scorso gennaio. I dati, però, sono rimasti accessibili fino ad oggi e non è ancora stato chiarito da quanto tempo risultavano online.
Cosa è successo
Secondo UpGuard, gli sviluppatori di app hanno esposto i dati degli utenti sui server pubblici. In questo caso, una società di media con sede in Messico chiamata Cultura Colectiva ha archiviato dati di 540 milioni di utenti degli utenti di Facebook. Questi dati, accessibili e scaricabili da chiunque, includevano ID di Facebook e nomi di account, nonché commenti e reazioni.
La società di sicurezza ha confermato inoltre un altro backup separato da un’app integrata di Facebook intitolato “At the Pool” è stato anche scoperto esposto a Internet tramite un bucket Amazon S3.
Come sottolinea il team di UpGuard Cyber Risk: “Questo stesso tipo di raccolta, in forma altrettanto concentrata, è stato motivo di preoccupazione nel recente passato, dati i potenziali usi di tali dati“.
Quanto è grave
Data la sensibilità di queste informazioni esposte, è piuttosto serio. “At the Pool” conteneva le password non crittografate di 22.000 utenti di Facebook. Ciò nonostante il fatto che al Pool sia cessata l’attività nel 2014. “Questo dovrebbe offrire poca consolazione agli utenti finali dell’app i cui nomi, password, indirizzi e-mail, ID di Facebook e altri dettagli sono stati esposti apertamente per un periodo di tempo sconosciuto“, afferma il post di UpGuard.
Intervistato dal CNBC Chris Vickery, direttore della ricerca sui rischi informatici di UpGuard, ha dichiarato: “Il ritrovamento di questo database evidenzia un problema intrinseco alla raccolta di dati di massa. I dati sembravano essere stati raccolti attraverso l’integrazione di Facebook in quanto il social network consente agli sviluppatori di terze parti di integrare app e siti Web con la sua piattaforma per consentire funzionalità come l’accesso al servizio tramite Facebook.
New: Facebook user info still being found via third-party-developer data leaks. UpGuard report: https://t.co/xk3bBRqvqv
— Chris Vickery (@VickerySec) 3 aprile 2019
Bloomberg coverage: https://t.co/uFYmSHG6hG
“Facebook non ha alcun modo di garantire la memorizzazione sicura dei dati dei propri utenti finali se questi consentiranno agli sviluppatori di app di raccoglierli in massa”, ha concluso Vickery.
Le dichiarazioni di Cultura Colectiva
Tutti i dati sono disponibili pubblicamente e sono quelli che Facebook condivide con noi. Utilizziamo tali informazioni per migliorare l’esperienza dell’utente sul nostro sito web, così come per generare nuovi contenuti che siano attraenti e ispirino il nostro pubblico, ha dichiarato il team Cultura Colectiva in un comunicato. “Il team di UpGuard Cyber Risk ha rivelato che alcuni dei nostri database contenenti informazioni pubblicamente disponibili sono stati esposti, inclusi 540 milioni di interazioni come Mi piace, commenti e reazioni. Tuttavia, non hanno incluso informazioni riservate o confidenziali, come e-mail o password, dal momento che non abbiamo accesso a questo tipo di dati, quindi la privacy e la sicurezza dei nostri utenti non erano a rischio. Ci impegniamo a rispettare sempre le regole di Facebook e anche a proteggere i dati e la privacy dei nostri utenti”.
La replica di Facebook
In una dichiarazione a Business Insider, la portavoce di Facebook Katy Dormer ha dichiarato: “Le politiche di Facebook proibiscono di archiviare le informazioni di Facebook in un database pubblico. Una volta allertato il problema, abbiamo collaborato con Amazon per rimuovere i database”.
Le responsabilità di Facebook
Sicuramente Cultura Colectiva, Amazon e Facebook, hanno molte responsabilità ma differenti tra loro.
I primi ad essere chiamati in causa sono quelli di Cultura Colectiva poiché – a prescindere dall’opportunità dell’operazione – hanno lasciato i dati stessi alla mercé di chiunque e senza intervenire tempestivamente a seguito della segnalazione dei ricercatori UpGuard.
Facebook adesso dovrà dimostrare di aver fatto quanto possibile per evitare che un eccessivo numero di dati potesse essere raccolto.
Anni di menefreghismo su come gli sviluppatori di app possano accedere ai dati degli utenti (vedi Cambridge Analytica) hanno portato a una massiccia proliferazione delle informazioni sensibili delle utenti, spesso senza la loro conoscenza o consenso informato.
Anche se – sulla scia dei recenti scandali – Facebook ha reso più restrittivi i dati accessibili agli sviluppatori di app, i danni ormai sono già stati fatti.
