Gli account violati totali potrebbero essere 90 milioni a causa di un bug nella funzione ‘visualizza come’

Operazione Tripoli: attacco via Facebook agli utenti libici
Tempo di lettura: 3 minuti

Qualche giorno fa, quasi 90 milioni di utenti si sono trovati disconnessi da Facebook come precauzione a fronte di quello che sembra essere il peggior errore di privacy del social network fino ad oggi. Ovviamente, abbiamo sentito parlare di Cambridge Analytica e del resto delle storie.

Come annunciato da Facebook, quasi 50 milioni di account sono stati compromessi da una vulnerabilità a catena nella funzione Visualizza come, che ha permesso a un soggetto sconosciuto di sottrarre i loro token di autenticazione. Questi token consentono di rimanere connessi all’account ogni volta che si aggiorna la pagina del browser, si riavvia il computer o lo si mette a riposo. Finché si dispone del token, si ha accesso al proprio account senza dover passare effettivamente attraverso il processo di login. Chiunque sia in possesso di tale token è esonerato dal login, incluso chi lo ha rubato in questo modo.

Ci sono poche informazioni su questo bug, oltre al fatto che è stato parzialmente mitigato dal social network, che ha disabilitato la funzione incriminata. Vale tuttavia la pena sottolineare che non c’è menzione di un premio Bug Bounty o di un account di un hacker white-hat che segnala questa vulnerabilità. A questo punto, è lecito supporre che non si trattasse di un report controllato e che una terza parte se ne sia letteralmente andata con almeno 50 milioni di token di accesso ad altrettanti account.

Secondo Statista, Facebook Messenger è la seconda piattaforma di messaggistica istantanea più grande al mondo, con quasi 1,3 miliardi di utenti attivi. È anche la più grande piattaforma di messaggistica istantanea al mondo priva di crittografia end-to-end attivata di default. Questo significa che la cronologia delle chat è sempre disponibile da qualsiasi dispositivo ci si connetta, a meno che non si sia attivata manualmente l’opzione Conversazioni segrete. A questo punto, se vi siete disconnessi da Facebook senza motivo apparente:

  1. Molto probabilmente il tuo account è stato tra quelli hackerati. Il che ci porta al punto 2.
  2. I vostri messaggi privati, le conversazioni e ogni informazione – come i check-in, le immagini inviate via chat e così via – sono probabilmente caduti nelle mani sbagliate. Se, in qualsiasi momento, diventano pubbliche a seguito di un “data dump”, i matrimoni si romperanno, le amicizia finiranno bruscamente e le immagini sensibili invaderanno internet. La vita non sarà più la stessa, grazie a un piccolo bug in una piattaforma.

Al momento è difficile capire su cosa gli hacker siano stati in grado di mettere le mani. Tuttavia, data la complessità del bug e i tempi generosi, è lecito supporre il peggio. Il motivo per cui avete dovuto effettuare nuovamente il login oggi è stato il modo in cui Facebook ha negato agli hacker l’accesso agli account: hanno invalidato il token di accesso sia dei 50 milioni di account compromessi per certo, sia degli altri 40 milioni in sospeso.

Poiché stiamo parlando di contenuti estremamente sensibili come le conversazioni chat private, le chat di gruppo e le interazioni business-to-consumer, cambiare la password non sarà sufficiente. Nel caso delle aziende, è bene iniziare a valutare quali informazioni sono state scambiate attraverso la chat e iniziare a notificare i clienti. Si tratta di una violazione dei dati che rientra nell’ambito del GDPR e deve essere trattata come tale.

Cosa fare ora?

I social network sono ormai diventati il fulcro della nostra vita digitale, che spesso si confonde con quella reale. Possono fare molto di più che influenzare le nostre abitudini di acquisto o truccare delle elezioni: possono influenzare le nostre interazioni sociali private.

Sfortunatamente, ciò che è fatto è fatto, e c’è poco che si possa fare per cambiare il corso delle cose. Ciò che si dovrebbe fare, però, è considerare le opzioni future:

  • Capire che i social network non sono luoghi a prova di proiettile, dove i nostri segreti sono al sicuro. Pianificare per il peggio e agire di conseguenza.
  • Non mettere mai per iscritto qualcosa che non si vorrebbe perdere quando la piattaforma viene violata.
  • Abbracciare la crittografia end-to-end come la nostra vita e la nostra libertà dipendessero da lei. E a volte è così.
  • Utilizzare client di messaggistica istantanea incentrati sulla privacy.