Venerdì 28 settembre, verso le 18 ora italiana, quando al quartier generale di Facebook, a Menlo Park, in Silicon Valley, erano passate da poco le nove del mattino, per la prima volta sono stato scollegato dal mio account Facebook. Un messaggio mi chiedeva di reinserire la password. Pochi istanti dopo è accaduto lo stesso su Messenger, il servizio di messaggistica personale di Facebook. E un minuto dopo ero di nuovo fuori da Facebook. Qualcosa stava succedendo: “Qualcuno deve essere entrato nel mio account”, ho pensato. È allora che un amico che si occupa di cybersecurity mi ha chiamato: “Hanno bucato Facebook!” “E tu come lo sai?” “Sta per uscire un comunicato: sono 50 milioni i profili violati”. (wired)
Sono passate 24 ore, molte cose sono state dette, è stato chiarito che si tratta del più grande attacco hacker in 14 anni di storia di Facebook. (new york times) Ma le cose che non sappiamo sono molte di più. (cnbc). Per esempio non sappiamo: chi ha attaccato la piattaforma; perché lo ha fatto; quando è iniziato l’attacco; quanto è durato; quali dati degli utenti sono stati effettivamente trafugati; quali altri dati, usando le credenziali di accesso di Facebook, sono stati trafugati agli utenti su altre app collegate alle quali si accedeva tramite Facebook, tipo Spotify o Instagram.
Non si tratta affatto di questioni banali o marginali: se è vero che una parte della nostra vita si svolge ormai sui social, è come se qualcuno fosse entrato in casa di 50 milioni di persone e si fosse portato via tutto, le foto, le lettere, i documenti, i ricordi. Tutto quello che costituisce la nostra identità digitale. Li avevamo affidati a Facebook pensando fossero al sicuro; ce li avevamo lasciati anche dopo che lo scandalo di Cambridge Analytica aveva dimostrato come i dati di 87 milioni di persone erano stati ceduti di nascosto per fini di propaganda politica. Lo avevamo fatto un po’ per pigrizia e un po’ perché avevamo creduto alle scuse contrite di Mark Zuckerberg. E adesso che fare? Che succederà? Dobbiamo correre a cambiare la password di Facebook? Dobbiamo farlo anche per le app alle quali accediamo con Facebook? Oppure è troppo tardi? E infine: non è arrivato il tempo di chiedersi quanto sono sicure queste piattaforme digitali, se ha senso continuare a metterci e lasciarci tante informazioni personali importanti, oppure no? Per provare a rispondere, vediamo prima cosa è successo.
Venerdì 28 settembre Facebook ha rivelato di avere subito un “security breach”, un attacco informatico, che ha riguardato circa 50 milioni di profili, ma altri 40 potrebbero essere stati coinvolti e tutti e 90 sono stati temporaneamente scollegati. Si tratta dell’attacco più grave nei 14 anni di storia di Facebook.
Del fatto è stato informato il Garante della privacy irlandese, visto che Facebook in Europa ha sede a Dublino: un segnale inequivocabile del fatto che fra i 50 milioni di utenti coinvolti ci sono anche europei (ma non è stato detto quanti). E’ stato fatto notare che senza le nuove norme europee in tema di sicurezza dei dati personali (GDPR), Facebook non sarebbe stata tenuta a rivelare l’accaduto. Invece lo ha fatto, come vedremo, alla scadenza delle 72 ore - che scattano nel momento in cui sei certo del “breach” - previste dalla direttiva. (theguardian)
Quello che Facebook non ha detto subito ma ha rivelato solo in un secondo momento è che questo attacco non riguarda soltanto Facebook ma tutte quelle piattaforme alle quali accediamo usando le credenziali di Facebook. (businessinsider)
Il team di ingegneri che si occupa della sicurezza della piattaforma ha identificato una falla il 25 settembre. Ma già dal 16 settembre avevano notato un picco anomalo di attività ed avevano avviato delle indagini. Ci sono voluti quindi nove giorni per capire che il problema era relativo allo strumento “View As” e ce ne sono voluti altri tre per dare l’allarme e mettere in sicurezza i profili di tutti gli utenti. (Cnbc)
Lo strumento “View As”, “vedi come”, previsto dal 2017, consente agli utenti di verificare come il proprio profilo viene visualizzato da un qualunque altro utente. E quindi, se per esempio, uno ha deciso di non mostrare certe informazioni ad uno determinato utente, con “View As”, può verificare che le impostazioni della privacy sono corrette. “View As” avrebbe due falle; la terza è relativa ad un secondo strumento, introdotto nel luglio del 2017: quello per caricare i video e consentire la pubblicazione dei video di Buon Compleanno. Il problema è che qui sarebbero rimasti i cosiddetti “token” di accesso. Si tratta delle chiavi di identità digitale che ci consentono di accedere automaticamente ad un sito senza digitare ogni volta le nostre credenziali. E nel caso di Facebook, sono utilizzati anche per accedere a molte altre piattaforme. Il problema è che chi dispone del nostro token può accedere al nostro profilo come se fossimo noi stessi. (Wired)
In una successiva conference call con i giornalisti, il vice presidente di Facebook Guy Rosen ha ammesso che il problema dei profili violati riguarda teoricamente anche tutte le piattaforme alle quali gli utenti accedono usando le credenziali di Facebook: e quindi Spotify, Airbnb, Tinder e Instagram per citare le più note. (Wired)
Facebook non ha confermato se davvero anche i profili di altre app sono stati effettivamente violati. In realtà mancano in questo momento moltissime informazioni. Quando è iniziato l’attacco? Teoricamente sono addirittura quattordici mesi che sono presenti dei difetti sul software: ma è davvero incredibile immaginare un tempo così lungo prima che il team di sicurezza di Facebook si è accorta del problema. Probabilmente l’attacco risale quindi a quando è stata notata una attività anomala, e quindi il 16 settembre. Dal 16 al 25 settembre. Nove giorni sono tanti. Ma quali dati degli utenti sono stati effettivamente trafugati? Nessuna risposta finora.
Facebook non ha idea nemmeno su chi siano gli autori dell’attacco. (Cnbc). Ha affidato le indagini alla FBI americana e rispondendo ad una domanda specifica, Rosen ha detto di non avere elementi per dire che si tratta di un attacco coordinato e sostenuto da qualche stato straniero. (New York Times). “Le nostre indagini interne sono appena iniziate” ha risposto l’amministratore delegato di Facebook Mark Zuckerberg. (UsaToday)
Secondo il New York Times e Business Insider anche i profili di Facebook Mark Zuckerberg e della numero due Sheryl Sandberg sarebbero stati violati. Qualcuno ha posto in relazione questa circostanza alla notizia che era circolata venerdì mattina, secondo cui un hacker di Taiwan aveva detto di aver individuato una vulnerabilità su Facebook e di essere pronto ad abbattere la pagina personale di Zuckerberg in diretta streaming domenica. L’evento poi è stato cancellato e non è chiaro se c’è qualche relazione con il “data breach” di cui stiamo parlando. (Engadget)
Immediatamente due utenti di Facebook, Carla Echavarrai e Derrick Walker hanno avviato una causa collettiva (class action) per chiedere un risarcimento danni. “E’ scioccante che dopo tutto quello che si era scoperto con Cambridge Analytica e con tutte le promesse che erano state fatte dopo, Facebbok ancora una volta abbiamo fallito nel proteggere i dati dei suoi utenti” ha detto il legale del due. (Wired)
“Prendiamo la cosa molto seriamente”, ha detto Zuckerberg ai giornalisti, “sono contento che lo abbiamo scoperto ma è grave che sia accaduto”. E ha aggiunto: “Quella della sicurezza è una corsa continua e noi continuiamo a migliorare le nostre difese” (gli addetti alla sicurezza stanno passando da 10 mila a 20 mila). Molto duro il commento del commissario della Commissione federale sul commercio, Rohit Chopra: “Questi fatti non solo violano la nostra privacy, ma sono un rischio per la nostra economia e la sicurezza nazionale. Servono risposte”. (New York Times)
Mentre in rete gli utenti discutevano solo di questo fatto, c’era un solo posto dove era impossibile informarsi: Facebook. Infatti per qualche ora il sistema di filtraggio automatico delle notizie ha impedito agli utenti di condividere i primi reportage di AP e del Guardian. Quando la cosa è emersa con un tweet Facebook si è scusata e le condivisioni sono state autorizzate. (Techcrunch)
E adesso che fare? Facebook sostiene che non c’è alcun bisogno di cambiare la nostra password (Cnbc), ma molti esperti di sicurezza consigliano di farlo. E di fare lo stesso anche per i siti e le app collegate. In questa occasione, se non è già stato fatto, sarebbe bene attivare la cosiddetta autenticazione a due fattori che consente l’accesso al sito dopo due passaggi: la digitazione della password e di un successivo codice numerico inviato via sms sul telefonino dell’utente. E’ bene attivarla. Ma proprio l’altro ieri una inchiesta di Gizmodo ha rivelato che Facebook utilizza i numeri di telefono che gli utenti forniscono per ragioni di sicurezza, a fini pubblicitari. Senza avvisarli. Una pratica che ha indignato molti, tra cui i pionieri della rete della Electronic Frontier Foundation.
Io comunque oggi ho cambiato la password di Facebook, ho attivato l’autenticazione a due fattori, ho aggiornato la privacy dei contenuti, per esempio l’ho limitata per i post del passato. E nei prossimi giorni farò il backup di tutte le mie chat di Messenger e subito dopo le cancellerò dalla piattaforma. Non c’è niente di brutto là dentro, ma c’è la mia vita privata e mi dispiacerebbe vederla esposta.
Mentre come tanti aspetto di capire cosa è veramente successo questa volta, mi resta una domanda in cerca di una risposta ma forse la risposta ormai la conosciamo già.
Possiamo ancora fidarci di Facebook?