Che Facebook possa essere un colabrodo in quanto a sicurezza e protezione dei dati degli utenti non è una novità, basti pensare alla vicenda delle foto scomparse oppure a quella delle falla di tipo XSS . A ulteriore riprova della inaffidabilità del portale di social networking nella sua fondamentale funzione di “data keeper” arriva ora un’altra falla, una vulnerabilità resa pubblica attraverso il neonato FBHive , una vulnerabilità che avrebbe potuto creare scompiglio se non fosse stata chiusa in tempi rapidi.
FBHive era apparso online letteralmente con un “bang”, sostenendo di essere a conoscenza di un metodo per accedere al profilo privato di qualunque utente FB anche se protetto. Considerando che gli autori non avevano inizialmente pubblicato i dettagli su tale fantomatico metodo, si sarebbe potuto anche trattare di una boutade senza fondatezza. TechCrunch ha però sfidato quelli di FBHive a dimostrare l’esistenza della falla, ottenendo in cambio la prova del fatto che era tutto vero.
La falla esiste, o per meglio dire esisteva: Facebook ha prontamente risposto identificando il bug e chiudendo il buco . In caso contrario FBHive aveva minacciato di pubblicare i dettagli sulla falla e su come sfruttarla entro 24 ore dal primo post apparso sul sito. I dettagli sono comunque apparsi online a puro scopo di documentazione, e la falla si sarebbe potuta sfruttare attraverso la funzionalità di editing del profilo utente.
Come se non bastassero i problemi di sicurezza al codice dall’Unione Europea spirano venti di regolamentazione dalle conseguenze ancora tutte da quantificare. La Commissione UE nota come Articolo 29, che si pronuncia su questioni riguardanti la privacy e i dati personali dei cittadini europei, ha infatti stabilito che i portali di social networking come Facebook hanno gli stessi obblighi legali dei “controllori di dati” attivi in altri settori.
I siti sociali “forniscono i mezzi per processare i dati utente e tutti i servizi di base correlati alla gestione degli utenti (come registrazione e la cancellazione di account)”, sostiene il gruppo europeo, sottolineando inoltre come tali portali mettano a disposizione strumenti aggiuntivi per usare i suddetti dati a scopo di advertising, anche di terze parti.
Stabilendo la responsabilità legale di Facebook, MySpace & compagnia rispetto alle informazioni immesse dagli utenti, l’UE afferma l’obbligo per i proprietari di questo genere di servizi di aderire più strettamente alle regole comunitarie in fatto di privacy e trattamento dei dati personali, risolvendo una volta per tutte l’annosa questione su chi debba stare attento a quel che fa , se l’utente che pubblica le informazioni o chi fornisce l’infrastruttura attraverso cui queste vengono immagazzinate e processate.
La direttiva del gruppo di lavoro Articolo 29 stabilisce inoltre che anche gli stessi utenti del social networking possono essere considerati come “data controller” nella misura in cui agiscono per conto terzi o a scopo pubblicitario. Per loro valgono le stesse limitazioni, leggi e regolamentazioni applicate agli altri soggetti che “giocano” con le informazioni, che si trovino sul territorio europeo o meno.
Alfonso Maruccia