L’ennesima diffusione di dati ha messo in allarme utenti, esperti di sicurezza e pure il Garante della Privacy. Facebook aveva subito comunicato che il furto è avvenuto circa due anni fa, sfruttando una vulnerabilità corretta ad agosto 2019. L’azienda di Menlo Park ha cercato di fare chiarezza sull’accaduto con un post pubblicato sul blog ufficiale.
Furto vecchio o nuovo e mai segnalato?
Facebook spiega che il database contenente informazioni su oltre 530 milioni di utenti non è stato sottratto tramite un attacco informatico all’infrastruttura di backend, ma con una tecnica di scraping. Utilizzando un software automatizzato (bot), i cybercriminali hanno raccolto i dati pubblici presenti nei profili degli utenti. Ciò sarebbe avvenuto prima di settembre 2019, usando la funzionalità di importazione dei contatti.
Facebook ha quindi risolto il problema per impedire la raccolta delle informazioni attraverso la verifica della corrispondenza dei numeri di telefono con quelli pubblicati nei profili. Come evidenzia Wired, negli ultimi anni ci sono stati numerosi leak, ma sembra che il nuovo database non sia correlato a nessuno di essi (gli utenti possono verificare la presenza dell’indirizzo email o del numero di telefono sul sito Have I Been Pwned).
La Data Protection Commission dell’Irlanda afferma che il nuovo database comprende i dati sottratti nel 2018 e altri aggiunti successivamente. Facebook ha risposto alla richiesta di chiarimento effettuata dall’autorità irlandese, promettendo maggiori dettagli sull’origine del problema (Aggiornamento: anche l’autorità russa ha chiesto maggiori informazioni sull’accaduto).
L’azienda di Menlo Park ha disattivato la funzionalità che permetteva di cercare gli amici inserendo il loro numero di telefono o il loro indirizzo email, ma molti utenti utilizzano ancora lo stesso numero di telefono e quindi possono essere vittime di smishing e SIM swapping. Gli utenti possono scegliere nelle impostazioni di Facebook chi può cercarli usando l’indirizzo email e il numero di telefono. La migliore soluzione è non aggiungere il numero di telefono al profilo.
Aggiornamento (08/04/2021): Facebook ha comunicato che non invierà una notifica agli utenti, in quanto non può ancora stabilire chi dovrebbe essere avvisato.