L’ennesimo attacco informatico ai danni di Facebook stavolta è andato a segno mettendo a rischio i dati di 90 milioni di utenti. Sono infatti 50 i milioni di account direttamente interessati da un furto di dati personali e altri 40 lo sarebbero stati indirettamente. Lo ha rivelato in un post pubblicato nella newsroom di Facebook lo stesso Guy Rosen, Vice Presidente della Gestione Prodotto dell’azienda confermando che l’attacco è stato accertato nel pomeriggio di martedì scorso 25 settembre.
Rosen ha anche detto che la vulnerabilità del codice sfruttata per portare a termine l’attacco è già stata risolta e che la cosa è stata presa molto seriamente ma che “non è necessario cambiare la propria password.” Ed ha aggiunto: “Le persone che hanno problemi ad accedere di nuovo a Facebook, ad esempio perché l’hanno dimenticata, dovrebbero tuttavia visitare il nostro Centro assistenza."
Le polizia federale americana sarebbe stata subito avvisate ma per proteggere gli account e far sapere agli utenti cosa è successo si sta ancora indagando. In ottemperanza della direttiva europea sulla protezione dei dati personali (GDPR) sarebbe stata avvisata della violazione anche L’Autorità per la protezione dei dati personali in Irlanda dove Facebook ha la sua base europea.
Da Menlo Park dicono di avere "reimpostato i token di accesso degli account interessati" e “di avere reimpostato le chiavi di accesso di altri 40 milioni di account”, e che per questo "circa 90 milioni di persone nell'accedere a Facebook riceveranno una notifica che spiega cosa è successo".
La piattaforma inoltre specifica di aver disattivato temporaneamente la funzione 'Visualizza come', quella che consente di visualizzare come ogni profilo viene visto dagli altri. La vulnerabilità che consente l'exploit, secondo Facebook, "deriva da una modifica apportata alla nostra funzione di caricamento di video a luglio 2017".
Spiega il professor Pierluigi Paganini, consulente dell’Agenzia Europea per la sicurezza informatica, Enisa: “Stando alle informazioni attuali, gli attaccanti hanno sfruttato una falla nel codice della piattaforma, in particolare una falla che consente l’accesso ai token utilizzati per autenticarsi alla piattaforma e attraverso cui è possibile prendere il possesso degli account associati".
Ma cosa sono questi token di accesso? I token sono come dei tesserini di riconoscimento che consentono agli utenti di accedere alle "segrete stanze" di Facebook. Il token d'accesso è una stringa di caratteri che contiene le informazioni necessarie ad identificare un utente specifico, o più in generale una qualunque applicazione. La cosa grave secondo Paganini è che “un attaccante in grado di rubare un token di accesso può assumere l'identità dell'utente Facebook a cui il token è associato ed agire al posto suo".
Ma se il social ammette che "le indagini sono appena iniziate" sostiene pure che non è stato ancora determinato "se questi account sono stati utilizzati in modo improprio o se sono state carpite informazioni". La società non ha neppure idea di chi ci sia dietro questi attacchi nè dove sono originati.
Ma il fatto si è consumato a breve distanza dalla minaccia di un hacker taiwanese che ha dichiarato di poter chiudere la pagina Facebook dello stesso creatore della piattaforma Mark Zuckerberg.
L’hacker ha annunciato che trasmetterà l’azione via Facebook Live domenica prossima alle 18. Chang Chi-yuan, non è però nuovo a queste sparate ed è difficile dire se si tratti solo di pubblicità o di millanteria. L’autoproclamato cacciatore di falle informatiche, si è già auto attribuito imprese simili senza però documentarle in maniera convincente.
Proprio ieri Facebook aveva confermato che gli inserzionisti che utilizzano la sua piattaforma possono accedere a informazioni ombra (shadow data) ovvero a dati presenti nel profilo utente per finalità differenti dalla mera partecipazione alla rete sociale. Secondo le università autrici della scoperta si tratterebbe dei numeri di telefono forniti a Facebook per accedere ai propri account in maniera sicura utilizzando l'autenticazione a due fattori, ovvero l'autenticazione che prevede l'invio al telefono dell'utente del codice di accesso.
Insomma, anche questi numeri di telefono sarebbero utilizzati per indirizzare in maniera chirurgica contenuti pubblicitari.