Cosa insegna l’attacco a Facebook su 50 milioni di profili

Autorità e normativeCyberwarSicurezzaSorveglianza
Mark Zuckerberg in Italia, dopo aver incontrato il Papa e il presidente del Consiglio, ha tenuto un discorso all'università Luiss e ha doato 500 mila dollari alla Croce Rossa per aiutare le vittime del terremoto in Centro-Italia

Sono stati esposti 50 milioni di account, altri 40 milioni sono stati reimpostati direttamente dal social newtork per sicurezza. Un’altra lezione per Facebook e per tutti sui rischi privacy. Il GDPR tutela davvero?

Una cosa è certa: questa volta l’attacco a Facebook per cui sono stati a rischio i dati di 50 milioni di account, e altri 40 milioni sono stati reimpostati dall’azienda per precauzione ha evidenziato come per sentirsi sicuri non è sufficiente il miglior comportamento possibile nella gestione delle password, se a non essere solida è la piattaforma.

Facebook si è accorta di questa ultima vulnerabilità a metà settembre, ma è a metà luglio del 2017 che l’attacco ha messo in crisi i sistemi di sicurezza del social di Zuckerberg.

Possiamo ben comprendere come l’ampiezza della finestra di esposizione non avrebbe dovuto consentire a nessuno di dormire sonni tranquilli.
Sconosciuta è l’origine dell’attacco, anche se sembra che non sia necessario pensare a una tattica da cyber-wargames, che resta però un’ipotesi più che attendibile.  Anche per la tipologia di attacco, del tutto ‘naturale’ e nemmeno troppo complessa, considerata la falla. 

Mark Zuckerberg: Facebook diventa un'azienda “mobile-first”
Mark Zuckerberg ancora nell’occhio del ciclone

Vediamo cosa è accaduto. Gli utenti si sono accorti del comportamento anomale del proprio account con un’uscita forzata dalla piattaforma. Nulla di più. Hanno potuto reimpostare il proprio account e tutto è tornato come prima. Inutile dire che già il gap informativo, senza tempestiva comunicazione da parte di Facebook lascia perplessi. 

La falla stessa in verità sarebbe frutto di più di una leggerezza, in parte architetturale: errori nella gestione e programmazione dei sistemi di upload video, con la funzionalità esposta dal menu Visualizza come e il token di accesso generato ‘catturabile’ dagli hacker.   

Quindi alla base delle vulnerabilità sfruttate c’è anche la modalità con cui Facebook presenta i dati. Zuckerberg ci tiene a precisare che Facebook in verità non ha rilevato la compromissione di account, ma è davvero troppo presto ancora oggi per valutare gli effetti di quanto è accaduto. E soprattutto nessuno si sente di garantire che WhatsApp e Instagram siano rimasti illesi.  

In questo caso poi cambiare la password serve relativamente considerato come a essere violati siano stati i token e non i dati User ID e Password degli utenti.

L’utente di sicuro può partire da qui, ma è impressionante come nome utente e password siano le uniche armi a sua disposizione ed evidentemente non possano bastare a tutelare i propri dati. In fondo il GDPR è nato anche per proteggere le persone in casi come questo.

Vedremo se e come il Regolamento sortirà degli effetti significativi in questo senso, perché al momento, proprio nei casi come questo, pare che nulla sia cambiato. Abbiamo solo fatto clic qualche volta di più sul tasto Accetto… Del resto, abbiamo effettivamente alternative?

Read also :
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore