Facebook, online i dati di 540 milioni di utenti

Un grosso database di dati raccolti su Facebook è stato trovato senza protezioni su server AWS: i dati sono stati rimossi dopo mesi di segnalazioni.

Facebook, online i dati di 540 milioni di utenti

I ricercatori UpGuard hanno messo e mani su un database contenente i dati di mezzo miliardo di persone. Trattasi di dati raccolti su Facebook dalla media company Cultura Colectiva, abbandonati su un server Amazon e disponibili da chiunque per il libero accesso. Si tratta dell’ennesimo allarme sicurezza correlato alle attività del social network poiché, a prescindere da quello che sarà il rimpallo delle responsabilità, i dati degli utenti – e la loro sicurezza online – sono stati nuovamente messi a repentaglio.

Il caso Cultura Colectiva

I dati sono stati trovati all’interno di un database da 146GB contenente informazioni su 540 milioni di utenti. Tra questi dati vi sarebbero i loro commenti, i loro like, tutte le reaction, il nome utente, il Facebook ID ed altro ancora. Il tutto era conservato su Amazon S3 (Amazon Simple Storage Service) senza protezione alcuna: chiunque avrebbe potuto scaricare l’intero pacchetto di file e costruire un database a proprio uso o per proprie finalità. Con ogni probabilità trattasi in larga parte di utenza di origine, cultura o tradizione latino-americana: è questa la matrice dell’offerta contenutistica del progetto Cultura Colectiva.

Interessante è anche il percorso che ha portato all’eliminazione del database dal server, mettendo così i dati in sicurezza. La prima segnalazione dei ricercatori UpGuard risale infatti al 10 gennaio 2019, mail alla quale non ha fatto seguito alcuna risposta. Una seconda mail sarebbe stata inviata il 14 gennaio, ma ancora una volta non è stato raccolto alcun feedback da Cultura Colectiva. Giunti al 28 gennaio, i ricercatori hanno notificato del problema Amazon Web Services: la risposta di AWS è giunta il 1 febbraio, spiegando che si sarebbe fatto il possibile per far sistemare il problema.

Il 21 febbraio la situazione era tuttavia sempre la stessa, i dati rimanevano pubblicamente disponibili e a distanza di quasi due mesi nessuno aveva ancora fatto alcunché per tutelare oltre mezzo miliardo di ignari utenti. Ad una mail ulteriore inviata ad AWS, la risposta è stata una ulteriore sequela di rassicurazioni, a cui non ha fatto seguito alcuna conseguenza.

Il 3 aprile Bloomberg ha cercato a questo punto direttamente Facebook per avere un punto di vista sulla vicenda: nel giro di poche ore il database è stato rimosso dalla pubblica disponibilità, chiudendo così la situazione di pericolo. Ma non chiudendo, ovviamente, un caso ormai deflagrato.

Le responsabilità

Gli attori in ballo sono tre: Cultura Colectiva, Amazon e Facebook. Per ognuno si configurano responsabilità molto differenti: i primi ad essere chiamati in causa sono quelli del team che ha raccolto e conservato i dati, poiché – a prescindere dall’opportunità dell’operazione – hanno lasciato i dati stessi alla mercé di chiunque e senza intervenire tempestivamente a seguito della segnalazione dei ricercatori UpGuard; Amazon da parte sua si è mossa tempestivamente presso il proprio cliente, ma non ha saputo ottenere un intervento riparatorio altrettanto tempestivo; Facebook si trova pizzicato in questa situazione e dovrà dimostrare di aver fatto quanto possibile per evitare che un eccessivo numero di dati potesse essere raccolto. Situazioni diverse, quindi, dove Facebook è chiaramente il pesce grosso a cui tutti guardano, ma dove è Cultura Colectiva a dover rispondere prima degli altri.

Da parte sua il team Cultura Colectiva ha diramato un comunicato con il quale si cerca chiaramente di sgonfiare il caso:

Tutti i dati sono disponibili pubblicamente e sono quelli che Facebook condivide con noi. Ciò che otteniamo dalle fanpage che gestiamo come mezzo di comunicazione è pubblico, non sono dati sensibili e sono informazioni che ogni utente di Facebook può vedere. Utilizziamo tali informazioni per migliorare l’esperienza dell’utente sul nostro sito web, così come per generare nuovi contenuti che siano attraenti e ispirino il nostro pubblico.

Il team di UpGuard Cyber ​​Risk ha rivelato che alcuni dei nostri database contenenti informazioni pubblicamente disponibili sono stati esposti, inclusi 540 milioni di interazioni come Mi piace, commenti e reazioni. Tuttavia, non hanno incluso informazioni riservate o confidenziali, come e-mail o password, dal momento che non abbiamo accesso a questo tipo di dati, quindi la privacy e la sicurezza dei nostri utenti non erano a rischio. Siamo a conoscenza degli usi che si possono fare dei dati, quindi abbiamo rafforzato le nostre misure di sicurezza per proteggere la privacy degli utenti delle nostre fanpage su Facebook.

Ci impegniamo a rispettare sempre le regole di Facebook e anche a proteggere i dati e la privacy dei nostri utenti.

Appare evidente in tal caso come le raccomandazioni ispiratrici della GDPR, relative in particolare alla limitazione della raccolta dei dati legando la stessa a stringenti ragioni di opportunità, emergano come possibile modello risolutore per un nuovo modo di pensare la privacy a livello globale.

Ancora una volta un data breach colossale ci dimostra che troppo poco viene fatto per proteggere i dati degli utenti. Ad un anno da Cambridge Analytica, una simile catastrofe mostra come, soprattutto il mondo dei social network, sia ancora lontano dall’essere sicuro, mettendo in pericolo i dati di privati ma anche quelli delle aziende, direttamente o indirettamente. Il database di Cultura Colectiva contiene numeri identificativi, commenti, reazioni e nomi usati per l’account, dati che ora potrebbero essere utilizzati anche dagli hacker per inviare mail di phishing targettizzate (chiamate in gergo “Spear Phishing”), quindi cucite sull’utente stesso, sui suoi interessi, esperienze passate, connessioni familiari

Hassan Metwalley, CEO di Ermes Cyber Security

Un altro caso

Non solo l’affair Cultura Colectiva richiama a tratti l’affair Cambridge Analytica, ma c’è stato il rischio che il problema potesse anche raddoppiare. Secondo UpGuard, infatti, anche un secondo database (di dimensioni minori) sarebbe stato trovato. In questo caso il team “At the Pool” avrebbe lasciato online un numero minore di dati, ma vi sarebbero ben 22000 password in chiaro che in molti casi l’utente potrebbe aver utilizzato tanto sull’app quanto sul social network: in questi casi, in parte per la responsabilità degli sviluppatori e in parte per negligenza dell’utente, gli account potrebbero essere a rischio e potrebbero diventare preda di attacchi.

Questo database contiene colonne quali fk_user_id, fb_user, fb_friends, fb_likes, fb_music, fb_movies, fb_books, fb_photos, fb_events, fb_groups, fb+checkins, fb_interests, password

La vicenda “At the Pool” si è però spenta sul nascere: i ricercatori hanno scoperto il database ma, prima ancora di poterne segnalare la presenza e di poterne studiare i contenuti, il tutto è scomparso dai server AWS. La stessa UpGuard non sa fornire spiegazioni: o è un caso, o è un controllo mirato, ma l’importante è che l’utenza sia ora in sicurezza.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • bubba scrive:
    3000 parole per descrivere l'ennesimo caso di un azienda cialtrona che configura un db sul cloud senza pw (indovino... mongoDb) ? non e' un po troppo? :P E sopratutto... perche tirare in ballo i poveracci di FB e amazon? che devono fare da balia al mondo?
Fonte: UpGuard
Chiudi i commenti