I 10 epic fail di Facebook

21 Mag 2019

Questo mese, Mark Zuckerberg ha festeggiato il suo 35esimo compleanno. Auguri! Anche se Zuckerberg ha raggiunto questo importante traguardo sopravvivendo ad alti e bassi. Ad esempio, si trova ad affrontare un’indagine federale che punta a renderlo responsabile diretto dell’uso inappropriato dei dati privati degli utenti e, nel frattempo, gli scandali collegati a Facebook continuano a fare notizia. In questo post ricapitoliamo i 10 errori più grandi che Facebook ha commesso riguardo un uso non consono dei dati.

1. Cambridge Analytica: il punto di partenza

Tutto è iniziato con lo scandalo di Cambrigde Analytica. A inizio 2018 abbiamo appreso con certezza assoluta che i nostri dati e le nostre opinioni su Facebook possono essere utilizzati da terze parti senza il nostro consenso. I dati di 50 milioni di utenti di Facebook raccolti da Cambridge Analytica e l’uso di questi dati per fare pubblicità a scopo politico hanno fatto tremare il mondo, ma è stato solo l’inizio. Se volete ricordare cosa è successo, potete leggere questo post.

2. Rubati i token di Facebook

Sei mesi dopo, un altro scandalo ha coinvolto nuovamente Facebook: dei cybercriminali sono riusciti a sfruttare alcune vulnerabilità su Facebook e a rubare i token d’accesso di milioni di utenti di Facebook (che praticamente equivalgono alle chiavi digitali che consentono agli utenti di collegarsi).

In totale sono stati sottratti i token di 30 milioni di utenti. I cybercriminali hanno avuto accesso a nomi e informazioni di contatto di 15 milioni di questi utenti, a informazioni più dettagliate e delle attività su Facebook di 14 milioni di altri utenti. Per quanto riguarda il milione di utenti rimasto, i cybercriminali non hanno avuto accesso ad alcun tipo di informazione. Proprio grazie a questa notizia, gli utenti hanno appreso che Facebook non è inespugnabile e che i loro account possono essere rubati in massa senza che si sia adottato un comportamento online rischioso.

3. Pubblicate numerose password di Facebook e Instagram

Come se 30 milioni di utenti non fossero sufficienti, c’è stato poi un incidente che ha coinvolto centinaia di milioni di utenti Facebook e Instagram. A inizio di quest’anno, ci siamo resi conto che i processi interni di Facebook non sono affatto perfetti. La compagnia ha ammesso di aver salvato in plain text parte delle password degli account Facebook e Instagram, anche se ha insistito che le password potevano essere viste solo dai dipendenti della compagnia e che nessuno aveva approfittato di queste autorizzazioni d’accesso.

Non è stato specificato il numero esatto di utenti coinvolti. All’inizio, la compagnia ha affermato che il problema riguardava centinaia di milioni di utenti Facebook Lite, decine di milioni di utenti di Facebook normale e decine di migliaia di utenti di Instagram. Un mese dopo, però, ha cambiato versione, precisando che il problema (ormai risolto) aveva interessato non decine di migliaia, bensì milioni di utenti di Instagram.

4. Pubblicate numerose password di Instagram… di nuovo

In realtà, non era la prima volta che gli utenti di Instagram venivano coinvolti in una fuga di password. Alcuni mesi prima, era emerso che la funzionalità di Instagram “Scarica i tuoi dati” conteneva una falla di sicurezza (ora risolta) che poteva aver reso pubbliche inavvertitamente alcune password di Instagram. Nel momento in cui si indicavano le informazioni di accesso per utilizzare questa funzionalità, la loro password veniva inclusa nell’URL sul browser e, di nuovo, custodita sui server di Facebook in plain text.

5. Facebook ha richiesto le password di e-mail e si è appropriato dei contatti

Facebook si è tenuto per sé i contatti e-mail di 1,5 milioni di utenti senza il loro consenso. In realtà è un po’ più complicato di così. Ecco la storia: Facebook ha richiesto a un sottoinsieme di nuovi utenti di verificare la loro identità chiedendo la password dell’account e-mail. Quando è stata resa nota la notizia, in molti hanno pensato che si trattasse di un pesce d’aprile: nessun navigatore di Internet con un minimo di accortezza potrebbe mai immaginare di dare accesso alle proprie comunicazioni via e-mail a terze parti. Purtroppo, non si trattava di uno scherzo e in molti hanno acconsentito.

Facebook ha ribadito di non aver avuto accesso ai contenuti delle e-mail degli utenti ma di essersi appropriata inavvertitamente dei loro contatti e-mail, per un totale di 1,5 milioni di utenti. Tuttavia, questi elenchi possono comprendere centinaia di contatti, per cui il numero finale di contatti ottenuti in questo modo può arrivare a decine di milioni. La compagnia afferma di aver utilizzato i dati per migliorare il targeting pubblicitario, creare la rete di connessioni sociali su Facebook e per consigliare nuovi amici agli utenti.

6. Facebook e l’autenticazione a due fattori: uno strumento a vantaggio degli inserzionisti pubblicitari

Tutti vogliamo che i nostri account siano sicuri e l’autenticazione a due fattori sembra il sistema ideale per proteggerli. Eppure, sono sorti problemi anche su questo fronte. Ad esempio, il numero di telefono che si dà per abilitare l’autenticazione in due passaggi per l’account Facebook sarà associato automaticamente al profilo, non c’è possibilità di scelta. Di conseguenza chiunque, anche se non ha un account su questo social network, può risalire al profilo dell’utente grazie al numero di telefono. Bonus: Facebook potrebbe anche inviare pubblicità su questi numeri.

7. I vostri contatti non saranno mai liberi da pubblicità (e la colpa è di Facebook)

Come abbiamo appena descritto, Facebook e Instagram hanno dato accesso agli inserzionisti alle informazioni di contatto che gli utenti non avevano nemmeno specificato su Facebook! In altre parole, gli inserzionisti hanno inviato pubblicità (e probabilmente lo stanno ancora facendo) basandosi non solo sugli indirizzi e-mail e i numeri di telefono che abbiamo indicato nelle informazioni di base e di contatto, ma anche su altri dati.

Tra le informazioni utilizzate ci sono il numero di telefono (se indicato) per l’autenticazione a due fattori e gli indirizzi e-mail “spazzatura” che creiamo per ottenere sconti o per lo shopping online occasionale. Inoltre, se uno dei vostri contatti decide di condividere (“sincronizzare”) i propri contatti con Facebook o caricare su Facebook la rubrica dei contatti (“per trovare altri amici”) e nella loro rubrica c’è un vostro numero di telefono, anche se non avete indicato questa informazione da nessuna parte su Facebook, gli inserzionisti potranno inviarvi pubblicità su quel numero di telefono.

8. Dati di Facebook condivisi con inserzionisti

Secondo quanto emerso da alcuni documenti interni filtrati, Facebook stava utilizzando i dati degli utenti per favorire compagnie partner. Ad esempio, Amazon.com, che stava investendo ingenti somme in pubblicità su Facebook, avrebbe ottenuto i nomi e gli indirizzi e-mail degli utenti attraverso gli amici dei contatti (lo stesso valeva per Sony, Microsoft e molti altri).

Bing, il motore di ricerca di Microsoft, in teoria poteva visualizzare i nomi di tutti i nostri amici di Facebook senza il nostro consenso (né di quello degli amici). Netflix, Spotify e la Royal Bank of Canada avevano ottenuto autorizzazioni per leggere, scrivere ed eliminare i nostri messaggi privati e per visualizzare tutti i partecipanti a un thread di messaggi. I dispositivi Apple avevano accesso ai numeri di contatto e agli eventi del calendario anche di persone che avevano modificato le impostazioni dell’account per evitare ogni tipo di condivisione.

Le aziende coinvolte hanno dichiarato di non aver mai utilizzato questi dati in modo inappropriato e alcune hanno affermato di non essere a conoscenza del possesso di questi diritti “più estesi”.

9. Il Marketplace di Facebook ha filtrato le ubicazioni esatte dei venditori

Una falla (ora risolta) presente nel marketplace digitale di Facebook ha permesso che fossero pubbliche le ubicazioni esatte dei venditori (le coordinate precise di latitudine e longitudine) e, di conseguenza, dei loro beni. Per vedere l’ubicazione, non era nemmeno necessario collegarsi a Facebook, cosa che per alcuni ricercatori sembrava una sorta di “lista della spesa per i ladri”. Aspetto particolarmente preoccupante soprattutto per chi desiderava vendere beni di un certo valore come le biciclette (un bottino allettante per i criminali) e, grazie all’ubicazione esposta in questo modo, è come se Marketplace mettesse a disposizione questi oggetti gratuitamente.

10. Pubblicati i dati di Facebook da terze parti

Sul Web sono stati individuati due database contenenti informazioni degli utenti di Facebook, immagazzinati in plain text, e così accessibili e scaricabili assolutamente da chiunque. Un database proveniva da un’applicazione di un gioco su Facebook chiamato “At the Pool”, ormai caduta in disuso da tempo. L’altro, che comprendeva oltre 540 milioni di entrate, apparteneva a Cultura Colectiva, piattaforma di comunicazione digitale messicana e attiva in tutta l’America Latina. In entrambi i database si trovavano nomi e indirizzi e-mail di utenti, l’elenco degli amici, like, commenti e tutti quei dati che solitamente servono per analizzare preferenze e interessi.

Sebbene non si trattasse di dati particolarmente sensibili, e Facebook non abbia nulla a che fare con l’accaduto, ancora una volta sorgono dubbi sul modo in cui Facebook condivida i dati degli utenti con terze parti, il cui massimo esempio è lo scandalo di Cambridge Analytica di cui abbiamo parlato all’inizio di questo post.

Se dopo aver letto tutto ciò, ne avete abbastanza dei trucchi di Facebook, sul nostro blog potete trovare le istruzioni per cancellare il vostro account sul social network. Ovviamente, è una decisione che spetta unicamente a voi.