Facebook sembra avere ancora un’altra vulnerabilità di sicurezza da affrontare, una che apparentemente hanno ignorato e non riteneva abbastanza importante per cominciare. Un rapporto sull’argomento di Ars Technica mette in evidenza i risultati di un ricercatore di sicurezza, che ha speso meno di Rs 1.000 per acquistare 200 falsi Facebook e utilizza i loro cookie per alimentare uno strumento automatizzato chiamato Facebook Email Search. Secondo i risultati del ricercatore, lo strumento potrebbe collegare gli indirizzi e-mail degli utenti ai loro account anche quando hanno specificato a Facebook di non condividere i propri ID con nessun altro. Inoltre, lo strumento Facebook Email Search v1.0 potrebbe apparentemente sfornare ricerche fino a 5 milioni di account utente ogni giorno, suggerendo quindi la presenza di tali strumenti di data mining di massa che sfruttano regolarmente le vulnerabilità di Facebook.
“No abbastanza importante”
Oltre ai numeri e al volume di utenti che potrebbero essere potenzialmente interessati, Facebook Email Search v1.0 ha anche messo in evidenza il lato di Facebook che l’azienda ha davvero cercato di convincere la gente che non è vero. Secondo il ricercatore che ha parlato con Ars per questo rapporto, dopo aver divulgato le sue scoperte a Facebook attraverso il loro programma di bug bounty, un rappresentante dell’azienda apparentemente lo ha informato che la vulnerabilità mostrata nella tecnica di exploit di Facebook Email Search v1.0 era”non abbastanza importante”per essere patchato e, pertanto, non verrà intrapresa alcuna azione al riguardo.
Inoltre, la vulnerabilità è apparentemente la stessa che è stata sfruttata in precedenza in un hack di data mining che ha visto un personal data dump di quasi 500 milioni di utenti Facebook su il dark web. Facebook aveva affermato all’epoca che la vulnerabilità era stata riparata, ma chiaramente non erano stati coperti motivi sufficienti. Ars riferisce che un’e-mail interna trapelata aveva anche rivelato una strategia di PR di Facebook in cui i loro dirigenti delle comunicazioni erano sollecitati a inquadrare tali violazioni dei dati e vulnerabilità come”problemi del settore generale”e stabilire gradualmente la narrativa che tali incidenti si verificano regolarmente. Una simile mentalità mostra un atteggiamento allarmantemente disinvolto nei confronti dei dati privati degli utenti che Facebook sfrutta nei suoi server.
Riluttanza contro la privacy
In corrispondenza con Dan Goodin di Ars, un portavoce di Facebook afferma che la loro azienda ha chiuso il rapporto sui bug bounty di questa vulnerabilità”erroneamente, prima di indirizzarlo al team appropriato”. Il portavoce ha inoltre confermato che la società sta intraprendendo”azioni iniziali”per correggere ciò che è stato segnalato e ha affermato che gli ingegneri di Facebook avevano precedentemente disabilitato la tecnica di data mining che è stata segnalata qui, e quindi credevano che il difetto fosse stato coperto.
Facebook ha ripetutamente visto informazioni interne trapelate che ha rivelato la riluttanza generale dell’azienda a concentrarsi davvero sulla privacy e sulla sicurezza dei dati degli utenti. Mentre l’amministratore delegato Mark Zuckerberg ha affermato in più occasioni di aver davvero rafforzato la privacy e le credenziali di sicurezza di Facebook, un flusso regolare di preoccupazioni si rifiuta di andare via. Facebook Email Search v1.0 è solo uno dei tanti strumenti disponibili in grado di sfruttare tali difetti, e non è nemmeno la punta dell’iceberg.
Numerosi esperti di privacy hanno anche sollevato molteplici domande riguardanti l’archiviazione e la condivisione dei dati di Facebook e le normative sulla tutela della privacy che l’azienda ha nella sua politica. Tuttavia, cose del genere non hanno ancora impedito che i dati degli utenti vengano sfruttati ripetutamente e, di conseguenza, non sarà sorprendente vedere trapelare un altro database di un milione di account da Facebook. Tali hack vengono anche utilizzati per raccogliere dati per furti di identità passivi, il che rende ancora più allarmante la negazione generale da parte di Facebook dei suoi problemi di sicurezza.
Leggi tutte le Ultime notizie e Ultime notizie qui