Facebook non ha fatto ai suoi utenti un bel regalo di Natale, tutt’altro: la notizia di un probabile furto di dati di 267 milioni di iscritti al social network non è esattamente un bel modo per festeggiare. La scoperta si deve al ricercatore di sicurezza Bob Diachenko e alla società di servizi digitali britannica Comparitech, la quale ha pubblicato ieri un resoconto dell’accaduto. Diachenko ha trovato online un server Elastiseach contenente ID utente, numeri di telefono e nomi e cognomi di 267.140.436 iscritti a Facebook, per lo più residenti negli Stati Uniti.
L’archivio risultava totalmente visibile, non protetto né da password né da altri requisiti di autenticazione, ed è rimasto reperibile online per circa due settimane dal momento della notifica del ricercatore all’Internet Service Provider che ne gestiva l’indirizzo IP. Inoltre per diversi giorni il database risultava pubblicato e scaricabile su un forum frequentato da aspiranti hacker. Appare probabile, vista anche la pubblicazione sul citato forum, che i numeri di telefono e i nomi trafugati possano essere usati prima o poi per realizzare campagne di phishing.
L’azienda di Mark Zuckerberg non sembra avere delle colpe dirette. L’ipotesi del ricercatore è che si trattasse del “bottino” di qualche operazione illegale di scraping oppure di un abuso informatico commesso da cybercriminali (vietnamiti, nella fattispecie) attraverso l’Api di Facebook. L’ufficio stampa di Menlo Park ha voluto sottolineare che “stiamo studiando la questione, ma crediamo che questi dati probabilmente siano stati ottenuti prima dei cambiamenti da noi apportati negli ultimi anni per proteggere meglio le informazioni degli utenti”. Per non sbagliare, Comparitech suggerisce agli iscritti al social network di modificare le impostazioni di privacy in senso più restrittivo e di disabilitare l’opzione che permette ai motori di ricerca Web di riportare al proprio profilo social.
Furto di 172,9 milioni di password di Zynga
Un’altra notizia dello stesso tenore ieri ha travolto Zynga, la società di social gaming della Silicon Valley, creatrice di titoli come FarmVille, CityVille, Draw Something, Words with Friends, Mafia Wars e altri. Lo sviluppatore padre di Have I Been Pwned (un popolare sito Web che permette di verificare se un’email sia stata compromessa in un data breach) ha scoperto all’inizio di settembre che poco meno di 172,9 milioni di dati di videogiocatori erano state rubate con una violazione informatica: nomi utente, ID degli account, password, indirizzi email e numeri di telefono. Non sarebbe stato sottratti, invece, nessun dato relativo a carte di pagamento o conti online collegati ai profili.
Come mai se ne parla solo adesso, a distanza di quasi quattro mesi? I media statunitensi hanno ripreso la notizia solo ora, ma in effetti l’autore della scoperta aveva subito informato Zynga. L’azienda a qualche giorno di distanza aveva indirizzato ai propri investitori una nota di spiegazione (consultabile online) e pubblicato una pagina di FAQ per spiegare agli utenti quali accortezze adottare. “Zynga”, si legge, “ha già preso provvedimenti per proteggere gli account degli utenti dai login illeggittimi, laddove crediamo che ci possano essere stati accessi alle password. In alcuni casi, potreste ricevere un suggerimento a modificare la vostra password”.