Il 25 settembre nelle sedi di Facebook si accorgono che degli hacker (non ancora identificati) si sono impossessati dei token di accesso di 50 milioni di account: avrebbero potuto anche prenderne il controllo e rubare i dati degli iscritti non solo relativi a Facebook ma per tutti i siti in cui erano entrati utilizzando il log del social network.
Cosa è successo esattamente
Sfruttando non uno ma ben tre bug diversi, gli hacker hanno potuto impossessarsi di ben 50 milioni di token di accesso.
Usando la funzione “visualizza come”, era possibile sfruttare un bug che avrebbe attivato la possibilità di caricare un video di compleanno. Un secondo bug presente in questa funzione permetteva di generare un token di accesso, ma (ecco il terzo bug) comparendo dentro la funzione visualizza come, il token d’accesso generato era per la persona indicata come visitatore del profilo.
Věra Jourová è una politica ceca, Commissario europeo per la giustizia, la tutela dei consumatori e l'uguaglianza di genere nella Commissione Juncker dal 1º novembre 2014.
In poche parole, grazie a questi tre bug, il signor Mario Rossi, avendo le competenze tecniche, avrebbe potuto generare un token d’accesso valido per Carlo Bianchi, indicando lui come utente che visita il suo profilo.
Facebook ha provveduto nei giorni scorsi a rendere obsoleti e non più utilizzabili quei 50 milioni di token sicuramente compromessi e altri 40 milioni che si poteva sospettare lo fossero stati.
Cosa comporta per noi
Ogni iscritto a Facebook ha sempre potuto, prima d’ora, verificare come (e cosa) un'altra persona avrebbe potuto vedere nel suo profilo. A parte alcune informazioni sempre pubbliche, attraverso opportune impostazioni della propria privacy, si può infatti controllare in maniera precisa cosa rivelare alle varie cerchie dei propri contatti. La funzione visualizza come infatti permetteva di visitare il proprio profilo come se a visitarlo fosse qualcun altro.
Questa è la funzione incriminata: aveva un bug che ha permesso, fin da luglio, di rubare i token d’accesso. E infatti, dal 25 settembre questa funzione è sospesa. Non correte a cambiare la vostra password, perché non è necessario, Ad essere rubati, come abbiamo scritto, sono i token d’accesso.
I token (gettoni) sono dei codici generati automaticamente subito dopo l’accesso a Facebook, abbinati al vostro nome utente e password. I token d’accesso sono utilizzati anche dalle app di terze parti e siti a cui vi siete connessi utilizzando Facebook (per iscrivervi e per connettervi).
Un po’ come quando si paga l’ingresso ad una discoteca e ti timbrano la mano: puoi successivamente entrare ed uscire quante volte vuoi, senza dover pagare ancora nella stessa serata. Nel caso di Facebook sono validi finché non ci si disconnette esplicitamente.
Ecco perché per i 50 milioni di account sicuramente compromessi e per altri 40 milioni per cui è stata rilevata una attività legata alla funzione visualizza come negli ultimi mesi, Facebook ha provveduto a disconnettere gli utenti.
Se siete tra quelli, ve ne sarete accorti perché, inaspettatamente, aprendo Facebook, avete dovuto reinserire le vostre credenziali di accesso. Facebook ha così reso obsoleti i token precedenti, fornendovene uno nuovo di zecca.
In teoria, accedendo nuovamente a Facebook in questo modo, avreste dovuto trovare un avviso che vi avvertiva del perché si fosse resa necessaria questa operazione.
A molti utenti italiani l'avviso non è comparso subito dopo essersi connessi nuovamente, ma soltanto nei giorni successivi.
Non preoccupatevi (!) nemmeno se usavate Facebook per accedere ad altri siti: secondo quanto dichiarato dal portavoce di Facebook, i token compromessi e invalidati non sono più utilizzabili nemmeno per accedere a quei servizi.
Non c’è nemmeno evidenza che vi siano stati accessi non autorizzati a quei siti, secondo Facebook ne che siano stati rubati altri dati da essi.
Se cambiare la password non serve giacché i token sono stati resi inservibili, ci permettiamo di dare un consiglio: d’ora in poi forse è meglio registrarsi solo su siti che ci interessano, senza usare Facebook ma immettendo i dati richiesti volta per volta. E, soprattutto, creando una password diversa per ciascun sito.
LEGGI ANCHE: Proteggere la propria identità su Internet in 20 semplici mosse
Cosa comporta per Facebook
Si tratta certamente di una enorme falla che dimostra, ancora una volta, come Facebook sia più interessato al proprio business che (nonostante le tante dichiarazioni in tal senso) alla privacy e sicurezza degli utenti. Certo, a loro discolpa, si potrebbe dire che il sistema è diventato talmente complesso che non sia più possibile prevedere, nel rilasciare una nuova feature, tutte le possibili conseguenze sul resto della piattaforma, ma ci si aspetterebbe una diligenza maggiore nel sorvegliare le attività sospette e tre mesi per rilevarle sembrano un pochino tanti.
Non si sa quanti degli account compromessi siano di cittadini europei, ma se alcuni lo fossero, secondo la disposizioni del GDPR, Facebook avrebbe già dovuto denunciare (il regolamento prevede 72 ore di tempo) che c’è stata una violazione e un furto di dati ai loro danni.
Il rischio è grosso per Facebook perché questa violazione, a differenza di quella pur grave di Cambridge Analytica che coinvolse quasi 3 milioni di utenti europei, è avvenuta dopo l’entrata in vigore del GDPR.
LEGGI ANCHE: Il GDPR da Facebook a Twitter. Il punto su 5 Big Tech
Il regolamento europeo prevede sanzioni molto alte per le aziende che non hanno tutelato a dovere i dati degli utenti. Nel caso di Facebook la multa potrebbe essere di 1,4 miliardi di euro (il valore più alto tra 20 milioni e il 4% del fatturato aziendale annuo dell’anno precedente).
https://twitter.com/DPCIreland/status/1046417378236608512
Sia la commissaria europea per la giustizia, Vêra Jourovà, che l’autorità irlandese per la protezione dei dati hanno chiesto a Facebook di chiarire e informare su quanti siano i cittadini europei coinvolti e se e come siano stati compromessi i loro dati.
Facebook ha dichiarato di voler cooperare pienamente e di voler condividere le informazioni risultanti dalle loro indagini non appena le avranno.
