All’inizio di aprile sono stati pubblicati online i dati di oltre 533 milioni di utenti. Facebook ha successivamente spiegato che non si è trattato di un attacco informatico, ma i numeri di telefono sono stati “estratti” con un tool automatizzato. L’azienda di Menlo Park ha ora fornito ulteriori informazioni su come contrasterà questa tecnica nota come scraping. In nome della trasparenza sono stati comunicati anche alcuni dati relativi alla lotta contro la contraffazione e la pirateria.
Facebook, scraping e phone number enumeration
Lo scraping può essere effettuato con sistemi autorizzati (ad esempio i web crawler dei motori di ricerca) e non autorizzati (bot che rastrellano i dati in violazione dei termini del servizio). Ogni sito web o app che consente l’accesso a dati pubblici è un potenziale bersaglio. Facebook ammette che non è possibile eliminarlo completamente, ma ha messo in atto alcune misure per ridurre il rischio.
È stato creato il team External Data Misuse composto da oltre 100 persone che hanno il compito di rilevare e bloccare attività sospette associate allo scraping. Facebook ha inoltre adottato delle restrizioni sulla quantità di dati che possono “uscire” dal social network. Con la collaborazione dei ricercatori di sicurezza, l’azienda cerca di scovare database online contenenti dati di utenti Facebook e attua una serie di azioni, come disattivazione degli account, denunce alle autorità e richieste di rimozione al fornitore del servizio di hosting.
Una particolare tecnica di scraping è denominata “phone number enumeration“. Utilizzando tool automatizzati è possibile trovare informazioni sulle persone a partire dai loro numeri di telefono. Facebook ha bloccato questa tecnica a settembre 2019 attraverso modifiche alla funzionalità che permetteva di cercare amici sul social network, importando i contatti dallo smartphone.