Un’immagine censurata del software Facebook Email Search v1.0. Ars Tecnica
Gli hacker stanno utilizzando un software chiamato Facebook Email Search v1.0 per scoprire milioni di indirizzi e-mail di utenti di Facebook, anche se gli indirizzi sono impostati su privati. Questi dati utente, insieme ai 533 milioni di numeri di telefono trapelati da Facebook solo poche settimane fa, possono aiutare gli hacker a entrare negli account o creare un database di informazioni private degli utenti di Facebook.
Facebook Email Search v1.0 sfrutta una vulnerabilità front-end nel sito Web di Facebook. Collega automaticamente gli ID utente al loro indirizzo e-mail associato, consentendo a un singolo hacker di proteggere circa 5 milioni di indirizzi e-mail al giorno. Facebook afferma di aver corretto una vulnerabilità quasi identica all’inizio di quest’anno, sebbene il problema rimanga chiaramente irrisolto.
In una conversazione con Ars Technica, un ricercatore senza nome afferma di aver dimostrato l’exploit a Facebook, ma che il gigante dei social media ha scelto di ignorare la questione. Facebook ha detto al ricercatore che "non considera [la vulnerabilità] abbastanza importante da poter essere riparata", nonostante sia un chiaro rischio per la sicurezza e una violazione della privacy degli utenti.
Pronto per un doppio whammy? Facebook non solo ha ignorato la vulnerabilità, ma sta incoraggiando attivamente i suoi rappresentanti delle PR a minimizzare e normalizzare le violazioni dei dati. Un’e-mail interna di Facebook inviata accidentalmente ai giornalisti di Data News dopo la fuga di informazioni sul numero di telefono del 5 aprile afferma quanto segue:
STRATEGIA A LUNGO TERMINE: supponendo che il volume della stampa continui a diminuire, non abbiamo in programma ulteriori dichiarazioni su questo argomento. A lungo termine, tuttavia, ci aspettiamo più incidenti di scraping e pensiamo che sia importante sia inquadrare questo come un problema generale del settore sia normalizzare il fatto che ciò avvenga attivamente regolarmente. Per fare ciò, il team propone un post di follow-up nelle prossime settimane che parli in modo più ampio del nostro lavoro anti-raschiamento e fornisca maggiore trasparenza sulla quantità di lavoro che stiamo facendo in quest’area. Sebbene ciò possa riflettere un volume significativo di attività di scraping, speriamo che ciò contribuirà a normalizzare il fatto che questa attività è in corso ed eviterà critiche sul fatto che non siamo trasparenti su incidenti particolari.
Centinaia di milioni di utenti di Facebook hanno avuto le loro informazioni private compromesse questo mese a causa di due diverse vulnerabilità del sito web. E di fronte a questo "volume significativo di attività di scraping", Facebook spera di normalizzare le fughe di notizie e ammette che i dump di dati sono "in corso". Per un sito Web ossessionato dalla raccolta dei dati degli utenti, la negligenza di Facebook è una delle principali bandiere rosse.
Facebook ora afferma di aver "erroneamente chiuso questa segnalazione di ricompense di bug prima di indirizzarla al team appropriato" e che sta attualmente indagando sul problema. Non è chiaro quando la società aggiornerà effettivamente questa vulnerabilità o quanti account sono stati interessati. Anche l’impatto attuale dei dati degli utenti trapelati è sconosciuto.
Fonte: Ars Technica, Data News