Sono state tre vulnerabilità distinte a consentire ai pirati informatici di bucare 50 milioni di profili Facebook e a metterne in pericolo altri 40 milioni. Venerdì sera il social network ha dato notizia di un massiccio data breach, il più grande della sua storia, scoperto pochi giorni prima e risolto praticamente in concomitanza dell’annuncio. Gli hacker, sfruttando una serie di falle, sono riusciti a entrare in possesso delle informazioni di una cinquantina di milioni di profili fin dal 16 settembre. L’attività anomala è stata individuata dai tecnici di Facebook, che per precauzione hanno disconnesso in automatico altre decine di milioni di account. Venerdì l’azienda di Menlo Park ha fatto mea culpa e ha sottolineato come le falle fossero state risolte, aggiungendo anche che non è necessario cambiare la propria password.
I tre bug sfruttati dai pirati informatici erano nascosti nella funzionalità “Visualizza come”, che permette a un iscritto a Facebook di vedere come appare il proprio profilo agli altri; nella nuova modalità di caricamento video lanciata nell’estate del 2017 e nel token di accesso generato da questa funzionalità, che permette di effettuare il login al social network (e ad altre applicazioni collegate) senza inserire ogni volta la password.
Rubando i token, i malintenzionati possono sostituirsi a un utente. Per questo motivo, non appena scoperto il baco, il team It del colosso di Menlo Park ha resettato i token delle persone coinvolte, mandando loro un messaggio privato per informarle dell’accaduto. Come ulteriore precauzione, l’azienda ha disattivato temporaneamente anche la funzionalità “Visualizza come”. Ma le indagini sull’incidente sono ancora in corso e al momento non è possibile sapere quali informazioni riservate siano effettivamente state rubate.
Anche se, una volta recuperati i token, si può teoricamente avere accesso a qualsiasi dettaglio della vita digitale degli utenti su Facebook. Per quanto riguarda le possibili identità degli hacker, alcuni esperti hanno provato ad avanzare delle ipotesi. Secondo David Atkinson, fondatore della società di cybersicurezza Senseon, si tratterebbe di un gruppo di criminali con grandi risorse tecniche ed economiche, il che fa pensare a un team di pirati sponsorizzato da qualche Stato.
“Con le elezioni di medio termine dietro l’angolo, non è difficile pensare a una motivazione politica per questo assalto”, ha spiegato Atkinson. Per ora sono pure speculazioni ed è probabile che la vera identità dei malintenzionati non venga mai scoperta. Il gigante di Menlo Park potrebbe infine rischiare una multa salata da parte dell’Unione Europea.
Con il Gdpr ormai in vigore, che prevede sanzioni per le organizzazioni che non proteggono in modo adeguato i dati degli utenti, Facebook potrebbe incappare nell’ammenda massima prevista dal regolamento, vale a dire il 4 per cento dell’ultimo fatturato globale. Nel caso dell’azienda guidata da Mark Zuckerberg, si arriva alla considerevole cifra di 1,63 miliardi di dollari.