SICUREZZA DIGITALE

Sapete chi ha rubato e rivenduto i dati di 178 milioni di utenti Facebook?

Non è lo stesso hacker che aveva rubato quelli di mezzo miliardo di persone

Oltre all’increscioso scippo delle informazioni di 533 milioni di iscritti a Facebook, salta fuori un altro saccheggio che dimostra come il grande social network non abbia mai adottato le doverose misure di sicurezza che dovrebbero impedire l’estrazione sistematica di dati personali che sono poi destinati alla indebita commercializzazione.

Nonostante i tecnici al servizio di Mark Zuckerberg ci tengano molto a spiegare “Cosa facciamo per prevenire lo scraping non autorizzato sui nostri prodotti?” e vantino la disponibilità di un team superspecializzato noto come External Data Misuse (EDM), le cautele poste in essere non frenano l’esecuzione di attività online che – apparentemente poste in essere da normali utilizzatori – sfociano in veri e proprie razzie di informazioni personali che danneggiano non solo la piattaforma ma anche e soprattutto chi adopera Facebook senza immaginare l’assenza di adeguate misure di sicurezza.

Mentre la cosiddetta “implementazione di mitigazioni tecniche contro lo scraping” (eufemismo per indicare l’adozione di sistemi volti a ridurre – e non ad impedire – il “raschiamento” dei propri archivi in barba ai limiti che ciascun utente fissa ad esempio per limitare la visibilità delle proprie cose ai soli “amici”) non sembra funzionare, le indagini svolte (solo a fattaccio avvenuto) dall’EDM hanno portato in questi giorni ad un risultato.

Facebook ha infatti portato in Tribunale un cittadino ucraino (qui il file pdf della documentazione della causa) che avrebbe sottratto – eludendo i termini di servizio del social e in particolare dribblando i meccanismi automatizzati che avrebbero dovuto stoppare la sua condotta fraudolenta – i dati di oltre 178 milioni di iscritti.

Ad essere citato in giudizio è Alexander Alexandrovich Solonchenko, abilissimo programmatore che sarebbe riuscito a creare virtualmente milioni di dispositivi Android (come i nostri smartphone non Apple), ciascuno con un numero di telefono diverso, per poi servirsene per inviare richieste automatizzate ai sistemi di Facebook tramite l’app Messenger.

Immaginando i cani da guardia di Zuckerberg pronti ad abbaiare al minimo “rumore” fatto da qualsivoglia malintenzionato, siamo invece costretti a prendere atto che Solonchenko avrebbe agito indisturbato per oltre 21 mesi (da gennaio 2018 a settembre 2019).

Il tizio ha così costruito un database ciclopico accessibile pubblicamente su RaidForums.com, dove l’archivio in questione era in vendita già nel dicembre 2020 in compagnia di altri dati provenienti da una banca e da un servizio di recapiti e consegne in Ucraina e da una società francese di analisi dei dati.

Secondo la miglior tradizione che vuole si chiudano i recinti dopo che i buoi sono scappati, Facebook ha chiuso la procedura non protetta di importazione dei contatti solo dopo che qualcuno (che non è Solonchenko, che nel suo curriculum vanta pure una esperienza di successo come venditore di scarpe online) ha sgraffignato i dati degli ormai famosi 533 milioni di utenti (circostanza per la quale Facebook ha pagato 4 milioni di euro di multa al Garante Privacy di San Marino).

Back to top button