“Accontentarsi di quello che condividono gli altri su Facebook e non esplorare il web ti fa sentire come un abitante di un paesino di montagna che non scende mai in città.”
Rosario Bifulco
A quanto narrano le cronache recenti, il tutto inizia dall’annuncio di un hacker piuttosto noto, Chang Chi-yuang, che annuncia la cancellazione in diretta streaming dell’account Facebook di Mark Zuckemberg.
Non so se ci sia un pulsantone del tipo “allarme rosso” ma negli uffici di Facebook deve essersi scatenato il panico: nel giro di pochissime ore, ecco che il vicepresidente del Product Management, Guy Rosen, pubblica un report completo di quanto avvenuto sulla newsroom del popolare social network:
On the afternoon of Tuesday, September 25, our engineering team discovered a security issue affecting almost 50 million accounts. We’re taking this incredibly seriously and wanted to let everyone know what’s happened and the immediate action we’ve taken to protect people’s security.
Da newsroom.fb.com/news/2018/09/security-update/
Il resto del post descrive in maniera piuttosto dettagliata la tipologia di falla scoperta che, sfruttando la funzione “View as“ (in italiano, “Visualizza come”), in poche parole avrebbe permesso ad un eventuale malintenzionato di prendere il controllo di un altro account: abbastanza preoccupante, poiché avrebbe anche permesso l’accesso a tutti i dati (compresi quelli riservati).
“This attack exploited the complex interaction of multiple issues in our code.” -continua il post di Guy Rosen- “…we have yet to determine whether these accounts were misused or any information accessed. “
Al momento la falla è stata tamponata (hanno disabilitato la funzione compromessa), tanto che Chang Chi-yuan, che si autodefinisce bug-hunter (cacciatore di bug, “falle informatiche”), ha deciso di cancellare l’attacco da lui stesso annunciato, preferendo incassare il premio in denaro riconosciuto dal programma di bug-bounty di Facebook.
Gravità e impatto
Ogni situazione di questo tipo viene valutata secondo due fattori: la gravità e l’impatto. L’impatto ce l’ha comunicato direttamente Facebook: almeno 50 milioni di utenti erano potenzialmente soggetti a tale vulnerabilità.
Anche la gravità, a quanto pare, è piuttosto elevata, probabilmente la più grave nei 14 anni di vita del social network: una potenziale compromissione dei dati personali di oltre 50 milioni di utenti, tra cui casella e-mail, numero di cellulare, informazioni come data di nascita, residenza, lavoro, studi… oltre alla possibilità di sfruttare il medesimo access token per moli altri servizi connessi, come Instagram, Spotify, etc etc etc…
Non sembra neppure essere chiaro da quanto tempo questa falla fosse presente e potenzialmente sfruttabile: fattore non trascurabile poiché questo periodo darebbe una migliore indicazione sull’impatto effettivo, e non presunto, relativamente alla protezione dei dati personali degli utenti.
Posso stare tranquillo ?
A quanto sembra dalle prime testimonianze, gli utenti potenzialmente affetti da tale falla hanno subito una disconnessione forzata da Facebook. Questo significa, in poche parole, che se vi siete trovati inspiegabilmente disconnessi dal social network probabilmente siete tra quei 50 milioni di utenti.
Al momento non ho avuto alcuna notizia che una tale cosa sia successa a persone italiane, quindi è presumibile che quel 5-10% di utenti coinvolti nella falla siano localizzati nella stessa area geografica. Ovviamente mi riservo di aggiornare l’informazione, nel caso i confini della falla dovessero allargarsi.
Quindi, concludendo, per il momento è bene mantenere l’allerta alta, verificare che sul proprio profilo Facebook non sia accaduto niente di strano: dalla pagina “Impostazioni” (Settings), accedere al “Registro attività” per avere l’elenco di tutto quello che è stato fatto dal proprio account.
Impatto sociale
Al di là della questione prettamente tecnica dietro ad una vulnerabilità del genere, credo la vicenda possa avere un forte impatto sulla società. Ci ricorda che tutti i sistemi sono vulnerabili ed anche quelli più controllati e presidiati, come Facebook, non sono immuni ad errori o falle.
Ci ricorda anche l’importanza di proteggere la nostra presenza in Rete, ad iniziare dai nostri dati personali. Dati che dobbiamo imparare a gestire con cura, soprattutto quando li consegnamo a soggetti esterni.
Restiamo quindi in attesa di saperne di più e di conoscere, dal team di Facebook che sta eseguendo le analisi del caso, le conseguenze di una tale vulnerabilità. Che sicuramente, anche solamente sotto il profilo reputazionale, ha inflitto un pesante colpo al popolare e frequentatissimo social network.