Iscriviti per ricevere una notifica ogni volta che pubblichiamo un articolo che non puoi davvero perderti! Disturbiamo poco, informiamo molto.
Quante volte avete temuto di ritrovarvi il vostro account Facebook rubato? Un’eventualità che potrebbe capitare a molti, specie quando la maggior parte degli attacchi non avviene attraverso l’hackeraggio più diretto, ben tramite tecniche di “data scraping“, ossia di recupero di informazioni tramite modalità solo nominalmente legittime, ma che configurano un’attività illecita nel momento in cui l’ammasso di dati non è autorizzato – così come la loro vendita, inevitabile, all’interno del dark web.
Si tratta di un nuovo tipo di minaccia, che spesso non viene nemmeno percepita come tale – che colpa ne ha una piattaforma se un hacker colleziona dati che l’utente ha inserito di sua spontanea volontà? In realtà in molti casi questi dati non sono accessibili da chiunque, ma ottenuti tramite bot o altri strumenti normalmente prerogativa solo degli sviluppatori, la cui raccolta è resa possibile solo da una scarsa cultura alla sicurezza da parte delle piattaforme responsabili dell’archiviazione di questi dati. Facebook non sembra però dello stesso parere: da alcuni documenti recuperati da un giornalista freelance, Facebook punta a “normalizzare” queste fughe di dati, da trattare come una spiacevole eventualità.
Siete pronti per scoprire perché potreste trovarvi l’account Facebook rubato senza che possiate fare nulla a riguardo?
L’ACCOUNT FACEBOOK RUBATO CON IL DATA SCRAPING
Εra il 2019 quando Facebook subì un furto di dati che avrebbe funestato la piattaforma per gli anni a venire: all’epoca uno sconosciuto hacker scoprì che un “buco” nelle impostazioni di sicurezza del social network consentiva la raccolta indiscriminata di dati e informazioni personali (compresa email e numero di cellulare). Tutto avvenne tramite una funzionalità parecchio popolare tra gli utenti: la ricerca di profili Facebook attraverso il numero di cellulare. Benché questa feature fosse stata sviluppata con l’obiettivo di consentire di rintracciare i propri vecchi amici caricando la rubrica del telefono sulla piattaforma, non fu difficile scoprire che la funzione non prevedeva un limite al numero di immissioni possibili.
L’hacker in questione sviluppò dunque un bot che inseriva automaticamente tutte le combinazioni possibili di numeri di cellulare nel campo di ricerca, riuscendo così non solo a ottenere un elenco di numeri di telefono reali, ma anche i profili anagrafici ad essi corrispondenti. Benché numerosi ricercatori di sicurezza avessero già segnalato alla compagnia l’esistenza di una simile vulnerabilità, sembra che il social non abbia considerato con la dovuta serietà la minaccia e di conseguenza permise implicitamente l’attività di data scraping.
Due anni dopo il database, probabilmente già venduto diverse volte nel dark web, emerse su Telegram sottoforma di un bot che, in cambio di 20$, permetteva di ottenere il numero di cellulare di “qualsiasi” account Facebook rubato. Nonostante infatti gli hacker non fossero riusciti a ottenere i dati di tutti gli utenti, l’archivio conteneva comunque la notevole quantità di 533 milioni di contatti Facebook, 37 milioni dei quali provenienti da Facebook Italia – in assoluto la nazionalità più ampia in assoluto nel contesto di questo furto di dati.
Tuttavia Facebook non sembra comprendere la gravità della situazione – o, meglio, vorrebbe che i suoi utenti modificassero la propria percezione di cosa significa ritrovarsi con un account Facebook rubato, e della gravità di un’attività di data scraping. D’altronde, l’azienda è sotto indagine da parte della Commissione per la Protezione dei Dati irlandese per via non solo dei ritardi con cui il social ha segnalato l’hackeraggio, ma anche per la decisione di non avvertire le vittime del furto.
Il quotidiano online olandese Data News è infatti entrato in possesso per un errore del team di Facebook di alcune email interne del management comunicativo della piattaforma risalenti allo scorso 8 aprile, le quali mettono in luce l’atteggiamento del social di fronte a vicende relative ad attività di data scraping. A partire dagli eventi delle ultime settimane, nei confronti dei quali l’azienda non intende esporsi con “ulteriori dichiarazioni“ dato che la pressione mediatica sta lentamente scemando.
“A lungo termine, tuttavia, ci aspettiamo più incidenti di data scraping e riteniamo sia importante inquadrarlo come un problema generale del settore, e normalizzare il fatto che questa attività si svolge regolarmente.“
La strategia di Facebook nei confronti di questa problematica consisterebbe dunque in una “normalizzazione” del fenomeno, che da straordinario dovrebbe dunque diventare ordinario e di conseguenza meno sorprendente e scandaloso agli occhi dei consumatori. Non si tratta solamente di una “cortina fumogena“: Facebook vuole essere più trasparente e diretto con l’opinione pubblica, e per raggiungere questo obiettivo il team propone di pubblicare nuovi aggiornamenti sul “nostro lavoro anti-scraping“, fornendo “maggiore trasparenza riguardo il nostro impegno in quest’area“. Ancora, tuttavia, si ripete nell’email che l’obiettivo è quello di “normalizzare il fatto che questa attività [il data scraping] è in corso“.
L’email prosegue con una ricerca sulla copertura mediatica ricevuta dal database di dati trafugato nel 2019: la stampa, si nota nell’email, ha definito l’atteggiamento di Facebook “evasivo“, sottolineando il fatto che Facebook non abbia offerto alcun tipo di scuse ai suoi utenti e si sia impegnato sostanzialmente a ridirezionare la colpa su altri soggetti.
Dopo la circolazione della notizia, Facebook ha rilasciato la seguente dichiarazione al quotidiano online ZDnet:
“Ci impegniamo a continuare a istruire gli utenti sul data scraping. Comprendiamo le preoccupazioni delle persone, motivo per cui continuiamo a rafforzare i nostri sistemi per rendere più difficile lo scraping da Facebook senza il nostro permesso e perseguire le persone che lo effettuano.
Ecco perché dedichiamo sostanziali risorse per combatterlo e continueremo a sviluppare le nostre capacità per cercare di stare al passo di questa sfida.“
Effettivamente, il data scraping sta diventando una minaccia sempre più diffusa – solamente qualche giorno fa Clubhouse è stato vittima di un’attività di raccolta massificata di dati che, per quanto permessa dalle impostazioni del sito web, è comunque illegale, come segnalato da Agenda Digitale. Inoltre l’accesso a informazioni personali normalmente non accessibili liberamente, come avvenuto per l’hacking che ha colpito Facebook, è tutt’altro che una situazione “normale” e la colpa non può essere in alcun modo riflessa sugli utenti. Ritrovarsi poi con l’account Facebook rubato a causa di queste leggerezze è gravissimo, e non mancheremo di segnalare ulteriori situazioni di irregolarità.
Vorresti scrivere per AppElmo? Mettiti in gioco: stiamo cercando collaboratori! Scrivi a [email protected], e dai un’occhiata QUI per le modalità di contatto. Non essere timido!
Se non volete perdervi nè le prossime News nè gli altri articoli di AppElmo (e sappiamo che non volete), allora potete iscrivervi alla nostra newsletter inserendo il vostro indirizzo email nel form qui in basso (tranquilli, vi assicuriamo che non vi invieremo spazzatura o spam; in caso contrario, vi saremmo immensamente grati se ci segnalaste il problema).
Oppure potete seguirci sulla nostra pagina Facebook, sul nostro account Twitter e sul nostro canale Telegram! Grazie mille!
