Facebook ha un nuovo problema con i dati. L’azienda Upguard Cyber Risk ha scoperto un repository su Amazon Web Services (Aws) contenente oltre 540 milioni di nomi account, Id, commenti, foto, “Mi piace” e altre informazioni di decine di migliaia di utenti di applicazioni terze accessibili dal social network. I dati erano in chiaro e quindi scaricabili virtualmente da chiunque. Una parte del ritrovamento è riconducibile alla società di mediazione culturale messicana Cultura Colectiva e alla sua app, mentre la parte rimanente dei record è un backup di post pubblicati sul software At the pool da circa 22mila persone. La buona notizia è che il sito di riferimento di questo particolare social network è stato chiuso nel 2014, lo stesso anno in cui sono cessate le attività della startup omonima.
Secondo quanto ricostruito da Upguard Cyber Risk, il database di quest’ultima app, pur essendo decisamente più piccolo rispetto a quello di Cultura Colectiva, contiene informazioni molto più preziose. I ricercatori hanno infatti scovato anche delle password che, pur non servendo più per accedere ad At the pool, potrebbero essere state riutilizzate dagli utenti per alti servizi online. Una pratica sempre sconsigliata, ma ancora diffusissima.
“Quello che lega fra loro i dataset è che contengono entrambi informazioni sugli utenti di Facebook che descrivono interessi, relazioni e interazioni: tutto era disponibile a sviluppatori terzi”, ha scritto Upguard Cyber Risk. “Facebook è sotto osservazione per quanto riguarda le modalità di gestione dei dati e ha cercato di ridurre l’accesso a realtà terze. Ma, come mostra questa scoperta, la natura (del social network, ndr) non può essere modificata. I dati di Facebook sono stati ormai diffusi ben oltre il controllabile”.
Secondo Upguard, la combinazione fra questa moltitudine di informazioni è metodi di archiviazione spesso non configurati correttamente rappresenta un cocktail micidiale. È abbastanza chiaro che il social network di Menlo Park non sia direttamente responsabile del leak, in quanto sono stati gli sviluppatori delle due app a non tutelare la privacy dei propri utenti. Me a essere chiamate in causa sono le policy estremamente lasse con cui Facebook ha gestito per anni la cessione di dati a terzi. Una pratica che è al centro di casi come quello di Cambridge Analytica. E di molte altre vicende.
Fonte: Upguard Cyber Risk. Un esempio dei dati di Cultura Colectiva disponibili su Aws
Anche perché, come spiegato dai ricercatori di Upguard, le aziende spesso non hanno le risorse per risolvere i problemi. Oppure non vogliono farlo. “Rispetto al leak di Cultura Colectiva, abbiamo avvisato la società il 10 gennaio 2019, con una seconda mail inviata il 14. Ad oggi non abbiamo ancora ricevuto risposta”. Il bucket di Aws è stato effettivamente messo offline il 3 aprile, solo dopo l’intervento diretto da parte di Facebook.
La morale di questa storia? Il colosso creato da Mark Zuckerberg dovrebbe ripensare in profondità la propria gestione della privacy degli utenti. Sempre che non sia ormai troppo tardi. “I dati non spariscono da soli”, ha sottolineato la società di sicurezza.