Punti chiave
Facebook ha comunicato che una violazione ha colpito 50 milioni di persone sul social network.
La vulnerabilità derivava dalla funzione “Visualizza come” di Facebook, che consente alle persone di vedere come appaiono i loro profili visti dagli altri. Gli aggressori hanno sfruttato il codice associato alla funzione, questo permetteva loro di rubare “token di accesso” che potevano essere utilizzati per impadronirsi degli account delle persone.
Sebbene i token di accesso non siano la tua password, consentono alle persone di accedere agli account senza averne bisogno. Facebook ha anche detto che la violazione ha interessato anche le app di terze parti che hai collegato al tuo account Facebook, incluso Instagram. Come misura precauzionale, Facebook ha disconnesso circa 90 milioni di persone dai propri account.
Facebook ha detto di aver scoperto l’attacco verso il 27 settembre. La società ha informato l’FBI e l’Irish Data Protection Commission. L’indagine è nelle fasi iniziali e non sa ancora chi ci fosse dietro gli attacchi.
Un problema di sicurezza molto serio
“Questo è un problema di sicurezza molto serio“, ha detto il CEO Mark Zuckerberg in una conference call con i giornalisti. “Ci sono attacchi costanti da parte di persone che stanno cercando di prendere il controllo di altri account e rubare informazioni dalla nostra comunità. Fermare queste violazioni sarà uno sforzo continuo“.
La notizia arriva quando Facebook è stato sottoposto a un attento esame per la sua capacità di mantenere i dati dei suoi oltre 2 miliardi di utenti al sicuro. La società sta ancora sotto l’occhio del ciclone dello scandalo Cambridge Analytica, in cui una società di consulenza digitale con sede nel Regno Unito ha raccolto le informazioni personali di 87 milioni di utenti di Facebook.
La vulnerabilità rivelata venerdì proveniva da un cambiamento implementato a luglio 2017, quando Facebook ha pubblicato una funzione che ha spinto le persone a caricare video di “Buon compleanno”, ha detto il vice presidente di Facebook. La compagnia sta ancora indagando sull’attacco e non sa quante informazioni siano state rubate o chi sia dietro l’hack. Poiché si trattava di token di accesso rubati e non di password, Facebook ha affermato che gli utenti interessati non hanno bisogno di modificare le loro impostazioni di sicurezza, incluse le loro password.
Cosa sono i token di accesso
I token di accesso sono un insieme di codice concesso a un utente dopo aver effettuato il login per la prima volta. Vengono spesso utilizzati su siti Web in modo da non dover accedere nuovamente ogni volta che si usa una pagina. Facebook li usa per i login e consente un accesso sicuro senza bisogno di password.
Gli aggressori hanno eseguito il loro attacco con una serie di passaggi che ha consentito loro di saltare i permessi per generare token di accesso per milioni di utenti di Facebook. Hanno iniziato visualizzando un profilo Facebook a cui avevano accesso come un altro utente. La funzione “visualizza come” ha lo scopo di consentire agli utenti di vedere come il loro profilo si presenta al pubblico o ad amici specifici in base alle loro impostazioni sulla privacy. Ma quando gli hacker hanno visualizzato un profilo Facebook come un altro utente, gli è apparso lo strumento per pubblicare un video di compleanno. Ciò non sarebbe dovuto accadere, ma a causa di un bug, secondo Facebook hanno ricevuto questo permesso. Quindi, a causa poi di un altro bug che riguardava lo strumento video, gli hacker sono stati in grado di generare un token di accesso per l’utente target, acquisendo loro accesso all’account dell’utente.
Con il token di accesso, gli hacker avevano il controllo sull’account dell’utente.
Gli hacker sono stati in grado di aumentare drasticamente questo attacco multi-passo, tanto che Facebook ha notato un insolito picco nelle attività degli utenti di settembre e ha iniziato a indagare, ha detto Rosen.
La Gdpr ha fatto chiarezza
Fatemeh Khatibloo, analista di Forrester che si concentra sulla privacy dei consumatori, ha detto che Facebook stava contenendo un nuovo danno alla privacy. Ha aggiunto che probabilmente gli utenti sono stati avvertiti prima di quanto avrebbero fatto grazie alle nuove norme sulla privacy entrate in vigore nell’Unione europea all’inizio di quest’anno. Il regolamento generale sulla protezione dei dati impone alle aziende di comunicare agli utenti una violazione dei dati non oltre 72 ore dopo averlo scoperto.
“Il GDPR ha forzato la mano di Facebook a pubblicare la violazione molto prima di quanto avrebbe desiderato, e prima che capissero l’ambito completo in cui è accaduta“, ha detto Khatibloo.
La violazione ha anche portato a ulteriori critiche da parte dei legislatori, che hanno già discusso l’introduzione di un regolamento per frenare le grandi aziende tecnologiche.
“Un’indagine completa dovrebbe essere condotta rapidamente e resa pubblica in modo che possiamo capire di più su ciò che è accaduto“, ha detto il senatore Mark Warner, del partito democratico della Virginia. “La violazione di oggi è un promemoria sui pericoli che si presentano quando un piccolo numero di aziende come Facebook o l’agenzia di credito Equifax sono in grado di accumulare così tanti dati personali sui singoli utenti senza adeguate misure di sicurezza“.
Con la diffusione di notizie sulla violazione dei dati, la piattaforma di Facebook ha impedito la pubblicazione di due articoli sull’attacco degli hacker. Un articolo era del Guardian e l’altro era dell’AP. Facebook ha confermato che il suo sistema stava bloccando gli articoli, dicendo però che si è trattato di un errore.“Abbiamo risolto il problema non appena ne siamo stati informati e le persone dovrebbero essere in grado di condividere entrambi gli articoli“, ha detto la società in una nota. “Ci scusiamo per il disagio.“
La sicurezza dei dati che tutti noi mettiamo in Facebook è ormai un grande problema che pare non si sia risolto con gli ultimi scandali. E’ un gigante che non sempre sa difendere i suoi utenti.