di Accademia Italiana Privacy
Il mese scorso Facebook ha annunciato la peggiore violazione di sicurezza mai subita, che ha consentito ad un gruppo di sconosciuti cyber attaccanti di rubare i token di accesso per milioni di account: l'attacco poggia su una vulnerabilità nella funzione "Vedi come". Al momento della prima divulgazione, Facebook stimava in circa 50 milioni gli utenti potenzialmente riguardati da questo attacco: un nuovo aggiornamento, pubblicato due giorni fa, ha ridotto le potenziali vittime a circa 30 milioni. Tra questi 30 milioni, 29 sono gli account tramite i quali gli attaccanti sono entrati con successo in possesso di dati personali: Facebook ha però assicurato che i cyber criminali non sono riusciti ad accedere a dati di app di terze parti.
Il mese scorso Facebook ha annunciato la peggiore violazione di sicurezza mai subita, che ha consentito ad un gruppo di sconosciuti cyber attaccanti di rubare i token di accesso per milioni di account: l'attacco poggia su una vulnerabilità nella funzione "Vedi come". Al momento della prima divulgazione, Facebook stimava in circa 50 milioni gli utenti potenzialmente riguardati da questo attacco: un nuovo aggiornamento, pubblicato due giorni fa, ha ridotto le potenziali vittime a circa 30 milioni. Tra questi 30 milioni, 29 sono gli account tramite i quali gli attaccanti sono entrati con successo in possesso di dati personali: Facebook ha però assicurato che i cyber criminali non sono riusciti ad accedere a dati di app di terze parti.
Il Vice Presidente e Product Manager di Facebook, Guy Rosen, ha pubblicato venerdì mattina un nuovo posto per condividere ulteriori dettagli su questa massiccia "security breach", informando che i dati hanno sottratto dati secondo lo schema che segue:
- Per circa 15 milioni di utenti Facebook, gli attaccanti hanno avuto accesso a due diversi set di informazioni: username e informazioni di contatto (incluso il numero di telefono), l'indirizzo email e altre informazioni di contatto tra quelle che gli utenti stessi hanno condiviso sui propri profili.
- Per circa 14 milioni di utenti Facebook, l'accesso ai dati personali è stato ben più ampio: oltre alle informazioni già menzionate prima, sono stati sottratti altri dettagli dai profili come il sesso, la lingua, lo stato delle relazioni, la religione, la città natale, i dispositivi usati per accedere a Facebook, i titolo di istruzione, la posizione lavorativa, gli ultimi 10 luoghi in cui l'utente è stato taggato o si è registrato, il sito web, le persone o pagine che seguono e le 15 ricerche più recenti.
- Il milione di utenti rimanenti non ha invece subito alcun accesso ai dati personali.
Oltre a ciò, Rosen ha spiegato che gli attaccanti non hanno ottenuto informazioni da Messenger, Messenger Kids, Instagram, WhatsApp, Oculus, Workplace, Pagine, pagamenti, app di terze parti, account developer.
Inoltre i cyber criminali non sono stati in grado di accedere ai contenuti dei messaggi privati, ma con una notevole eccezione: se un utente è amministratore di una pagina Facebook che ha ricevuto o scambiato messaggi con altri interlocutori, allora il contenuto di tali messaggi è esposto agli attaccanti.
Come verificare se si è stato vittime di questa violazione?
Facebook ha spiegato che le gli utenti possono verificare di aver subito o meno questa violazione del proprio account visitando l'Help center del social network. Inoltre sarà direttamente la compagnia a contattare i circa 30 milioni di utenti colpiti, per spiegare l'accaduto e a quali informazioni gli attaccanti possono aver avuto accesso, assieme ad una serie di step e consigli per proteggersi da email, chiamate e messaggi di testo sospetti.
Come è accaduto?
Inizialmente i cyber criminali sono partiti da un numero esiguo di profili. Grazie a vari automatismi, si sono poi spostati da un account all'altro sfruttando le liste di amici: per ogni utente hanno copiato quindi il token di accesso. Il token è quello strumento che, contenendo già i dati di accesso, permette il login diretto a Facebook e ad altre app collegate e la possibilità di rimanere collegati senza dovere, ogni volta, reinserire le credenziali.
Chi è stato?
Non è ancora certa l'identità del gruppo di cyber criminali che ha violato la sicurezza del social network più diffuso al mondo, ma Rosen ha confermato che Facebook sta cooperando strettamente con FBI: la US Federal Trade Commission, la Irish Data Protection Commission e altre autorità per capire l'accaduto e invidiuare non solo i responsabili, ma anche se, tra tutte le vittime, gli attaccanti si siano o meno concentrati su qualcuno (o qualche tipologia) in particolare. Indubbiamente gli atttaccanti hanno fatto un grande guadagno: la mole impressionante di dati raccolti, oltre a garantire guadagni dalla rivendita dei dati stessi, è un utile materiale per campagne di social engineering e di phishing.
I guai di Facebook: le sanzioni previste dal GDPR
Questo data breach non è affatto il primo, anche se indubbiamente il più grave. Qualche tempo fa, forse ricorderete, lo scandalo Cambridge Analytica si abbattè su Facebook con la forza di un tifone e i guai non sono ancora finiti. Per questo attacco infatti Facebook rischia da parte dell'Unione Europea, una multa di circa 20 milioni di euro o, peggio, del 4% del fatturato annuale. Sarà l'autorità privacy irlandese ad occuparsi del caso, dato che Facebook ha la propria sede legale Irlanda, anche se, come già annunciato, l'investigazione verrà svolta in rappresentanza dell'intera Unione Europea.
Questa seconda, grave, violazione dei dati degli utenti di Facebook comporterà, molto probabilmente, un secondo procedimento di indagine e sanzionatorio.
Non è ancora certa l'identità del gruppo di cyber criminali che ha violato la sicurezza del social network più diffuso al mondo, ma Rosen ha confermato che Facebook sta cooperando strettamente con FBI: la US Federal Trade Commission, la Irish Data Protection Commission e altre autorità per capire l'accaduto e invidiuare non solo i responsabili, ma anche se, tra tutte le vittime, gli attaccanti si siano o meno concentrati su qualcuno (o qualche tipologia) in particolare. Indubbiamente gli atttaccanti hanno fatto un grande guadagno: la mole impressionante di dati raccolti, oltre a garantire guadagni dalla rivendita dei dati stessi, è un utile materiale per campagne di social engineering e di phishing.
I guai di Facebook: le sanzioni previste dal GDPR
Questo data breach non è affatto il primo, anche se indubbiamente il più grave. Qualche tempo fa, forse ricorderete, lo scandalo Cambridge Analytica si abbattè su Facebook con la forza di un tifone e i guai non sono ancora finiti. Per questo attacco infatti Facebook rischia da parte dell'Unione Europea, una multa di circa 20 milioni di euro o, peggio, del 4% del fatturato annuale. Sarà l'autorità privacy irlandese ad occuparsi del caso, dato che Facebook ha la propria sede legale Irlanda, anche se, come già annunciato, l'investigazione verrà svolta in rappresentanza dell'intera Unione Europea.
Questa seconda, grave, violazione dei dati degli utenti di Facebook comporterà, molto probabilmente, un secondo procedimento di indagine e sanzionatorio.
Nessun commento:
Posta un commento