lunedì 11 novembre 2019

Nuovo data leak per Facebook: sviluppatori esterni accedono a dati sensibili dai Gruppi


Facebook ha reso pubblico qualche giorno fa un altro incidente di sicurezza, ammettendo che oltre 100 sviluppatori di app potrebbero aver avuto accesso ai dati privati degli utenti dai gruppi. In post sul blog (visualizzabile qui) interamente dedicato agli sviluppatori, Facebook ha fatto sapere che gli sviluppatori che possono avere avuto accesso non autorizzato ai dati degli utenti (nome, cognome, foto di profilo ecc...) sono principalmente legati ad app di gestione dei social media e per lo streaming video, che consentono agli admin dei gruppi di gestire gli utenti più efficacemente e aiutare i membri a pubblicare video nei gruppi stessi. 

La nuove norme di sicurezza dati dopo l'affaire Cambridge Analytica
Facebook ha apportato, appena lo scorso anno, alcune pesanti modifiche alla sua API Group sulla scia dello scandalo Cambridge Analytica, dato che quel leak riguardò ben 87 milioni di utenti, la cui privacy fu violata dalla società terza al fine di manipolare le elezioni negli Stati Uniti.
Le modifiche hanno riguardato, principalmente, l'implementazione di varie policy di limitazione nella condivisione dei dati con gli sviluppatori esterni. In dettaglio si impedisce, adesso, alle app integrate con un gruppo di poter accedere ai dati degli utenti: le app possono ottenere informazioni come il nome del gruppo, il numero dei membri, il contenuto dei post e nient'altro. Per poter accedere invece ad informazioni aggiuntive, come i nomi o le foto di profilo dei membri connessi con le attività di un gruppo, i membri stessi del gruppo devono avere dato l'opt-in (ovvero gli utenti membri del gruppo devono esprimere un consenso esplicito).

Nonostante le nuove norme...
Nonostante tutti questi cambiamenti, però, ancora una volta i dati degli utenti sono finiti (anche se potenzialmente, lo ribadiamo) in mani non autorizzate: nel corso di una revisione in tema infatti, Facebook ha scoperto che alcuni sviluppatori avevano mantenuto la possibilità di accedere alle informazioni private dei membri dall'API Group. Quindi Facebook ha provveduto non solo a bloccare gli accessi non autorizzati ai dati da parte degli sviluppatori di terze parti, ma ha anche avviato indagini in cerca di riscontri sull'eventuale utilizzo illegale di tali dati. Nella nota non figura però il numero degli utenti riguardati dalla problematica. Gli unici dati indicati da Konstantinos Papamiltiadis, direttore del programma per gli sviluppatori di Facebook, indicano che almeno 11 partner hanno effettuato l'accesso alle informazioni private di utenti dei gruppi negli ultimi due mesi. 

Facebook e la privacy: un rapporto difficile
Questo incidente fa parte di una lunga serie di eventi che hanno reso ormai chiaro come la privacy e la tutela della infinita mole di dati che gli utenti concedono a Facebook sia un vero e proprio nervo scoperto per la Corporation di Zuckerberg. Giusto qualche mese fa, nel Luglio 2019, Facebook si è vista comminare una multa di 5 miliardi dalla Federal Trade Commission (FTC) al termine delle indagini volte alla ricostruzione della vicenda Cambridge Analytica: siamo di fronte alla più grande sanzione mai comminata dal governo degli Stati Uniti ad una società per una violazione di questo tipo. Nell'ambito dell'accordo con la FTC è stato ordinato a Facebook anche l'implementazione di un nuovo quadro di protezione della privacy e delle informazioni, ma anche l'obbligo di fornire all'FTC nuovi strumenti di monitoraggio. 

Nel Marzo del 2019 invece Facebook scoprì che le password di centinaia di milioni di utenti Instagram e Facebook erano rimaste pubblicate in chiaro per anni, salvate su diversi sistemi interni di archiviazione dei dati.

Nel Settembre 2018 invece che ha annunciato che un gruppo di sconosciuti cyber attaccanti è riuscito a rubare i token di accesso per milioni di account: l'attacco poggia su una vulnerabilità nella funzione "Vedi come". Al momento della prima divulgazione, Facebook stimava in circa 50 milioni gli utenti potenzialmente riguardati da questo attacco: un nuovo aggiornamento  aveva poi ridotto le potenziali vittime a circa 30 milioni. 

Nessun commento:

Posta un commento