Meta multata e furto di dati Whatsapp, che cosa è successo

Meta in questi giorni ha incassato un altro colpo: una multa da 265 milioni di euro voluta dalla Data Protection Commission, cioè l’ente di tutela della privacy irlandese. La società di Mark Zuckerberg è colpevole di aver violato il Gdpr, il regolamento europeo sulla protezione dei dati personali, in seguito a un episodio data scraping (cioè l’estrazione di dati da un sito Web tramite l’uso di un software) che ha interessato circa 533 milioni di utenti Facebook tra maggio 2018 e settembre 2019.

L’articolo 25 del Gdpr esige i servizi online vengano progettati secondo principi di sicurezza intrinseca (by design e by default). Meta, all’epoca Facebook, non ha rispettato questo principio nel progettare la piattaforma e in particolare non ha adottato le misure tecniche necessarie a evitare il data scraping.

I dati dei 533 milioni di profili Facebook erano finiti online una prima volta quando ancora il Gdpr non era entrato in vigore, e una seconda volta nell’aprile del 2021. Adesso, dopo mesi di indagini, Meta è stata multata dalla Data Protection Commission in relazione a questo secondo episodio anche per non aver informato né le autorità né gli utenti interessati.

L’azienda si è difesa spiegando di aver “apportato nel periodo in questione delle modifiche ai nostri sistemi”, tra cui l’eliminazione della possibilità di estrarre i dati dalla piattaforma Web del social network. “Il data scraping non autorizzato è inaccettabile e contrario alle nostre regole”, ha proseguito Meta, con un’affermazione che probabilmente non sposta di un millimetro le intenzioni dei criminali informatici. L’azienda si è impegnata a “continuare a lavorare con i nostri colleghi in questa sfida per il settore” e ha detto stare “valutando attentamente” la decisione della Data Protection Commission irlandese.

In questi giorni Meta ha anche dribblato un altro possibile scandalo, che si è però rivelato infondato. La notizia di un colossale data leak ha investito WhatsApp: sarebbero coinvolti i numeri telefonici di quasi mezzo miliardo di utenti della piattaforma di messaggistica, stando alle rivendicazioni dell’hacker che ha pubblicato un estratto di questo “bottino” sul sito BreachForums. Più precisamente, si tratterebbe dei numeri di 487 milioni di utenti di 84 Paesi, fra cui anche circa 35 milioni di italiani.

Ma quanto c’è di vero? Il sito di CyberNews si è preso la briga di confrontare i numeri di telefono inclusi nella lista con recapiti Sim reali, scoprendo quasi duemila corrispondenze. Lo stesso sito di informazioni riporta che i dati sono in vendita a prezzi tutto sommato contenuti: 7.000 dollari per i 32 milioni di numeri di telefono registrati negli Stati Uniti, 2.500 dollari per gli 11 milioni di numeri del Regno Unito, 2.000 dollari per i sei milioni della Germania.

Da Whatsapp e dall’azienda proprietaria della piattaforma, Meta, è giunta però la smentita. “Le affermazioni riportate da Cybernews si basano su screenshot non dimostrati. Non c’è alcuna prova di un data leak di Whatsapp”, ha comunicato l’azienda. In realtà, come verificato poi da diversi “addetti ai lavori” (tra cui il ricercatore di sicurezza informatica Troy Hunt, gestore del noto sito Web Haveibeenpwned), i dati pubblicati dall’hacker sono frutto di un’operazione di data scraping su un database di Facebook, risalente al 2019.

Non c’è quindi ragione particolare per preoccuparsi della sicurezza delle infrastrutture e del software di Whatsapp, ma semmai esiste un (noto) problema di compravendita di dati rubati. Vecchie violazioni informatiche, che si tratti di data breach o di scraping di dati, rappresentano una fonte di materiale monetizzabile anche a distanza di anni. Nel caso delle password, poi, il rischio di subire ripetute violazioni è aggravato dall’abitudine di molti utenti a usare le stesse credenziali per diversi servizi online e a non aggiornarle anche per anni.

“Nonostante le informazioni in vendita siano solo numeri di telefono attivi e non il contenuto dei messaggi stessi, si tratta di una violazione su larga scala enorme”, ha commentato la divisione di threat intelligence di Check Point. “Una conseguenza immediata è la possibilità che questi numeri vengano utilizzati come parte di attacchi di phishing attraverso l'app stessa. Invitiamo tutti gli utenti di WhatsApp a prestare la massima attenzione ai messaggi che ricevono e anche quando devono cliccare su link e messaggi condivisi sull'app”. Meglio prestare molta attenzione, dunque, ai messaggi Sms e anche alle chiamate telefoniche in cui viene richiesto, in una forma o nell’altra, di svelare dati personali o di pagamento.