Facebook rischia una multa pari al 4% del fatturato annuale per il bug nel sistema di gestione dei token di accesso legato alla funzione “Visualizza come” che ha potenzialmente coinvolto 90 milioni di profili
Dalla padella alla brace. E’ questa la situazione che sta vivendo Facebook negli ultimi giorni. Il social network sta lavorando da mesi per riprendersi dallo scandalo Cambridge Analytica e settimana scorsa è avvenuta la più grave violazione della piattaforma della sua storia. Sono più di 50 milioni gli account che sono stati compromessi e per altri 40 milioni sono state reimpostate le password a scopo precauzionale. Facebook oggi ha confermato le indiscrezioni sulle cause dell’attacco spiegando come gli hacker sono riusciti ad accedere ai profili di un numero così elevato di iscritti. Questi “attori esterni”, come li ha definiti Pedro Canahuati, vice Presidente Engineering, Security e Privacy del social network, hanno sfruttato tre vulnerabilità legate alla funzione “Visualizza come”, che permette di vedere come appare agli altri utenti la propria pagina personale. Il problema sarebbe legato al sistema di caricamento dei video introdotto nel luglio del 2017 che ha generato per errore dei token di accesso con le autorizzazioni di Facebook. Questa tecnologia permette di autenticarsi presso il social network e altre piattaforme utilizzando lo stesso nome utente e password senza doverle ogni volta reinserire. Gli hacker hanno quindi avuto accesso alle credenziali degli utenti per un errore evitabile.
“La combinazione di questi tre bug è diventata una vulnerabilità. – spiega Canahuati – Gli aggressori sono quindi stati in grado di passare da un singolo token di accesso ad altri account, eseguendo le stesse azioni e ottenendo ulteriori token di accesso. Per proteggere gli account delle persone, abbiamo risolto la vulnerabilità. Abbiamo anche reimpostato i token di accesso dei quasi 50 milioni di account che sappiamo essere interessati e abbiamo anche preso il provvedimento cautelativo di reimpostare i token di accesso per altri 40 milioni di account che hanno usato la funzione “Visualizza come” nell’ultimo anno. Infine, abbiamo temporaneamente disattivato questa funzione mentre stiamo eseguendo un’analisi approfondita della sicurezza”.
I guai per Facebook non finiscono qui. Non solo l’azienda di Menlo Park ha ammesso che utilizza il numero di telefono degli utenti, almeno di quelli che hanno fornito tale informazione per motivi di sicurezza come l’autenticazione a due fattori, a scopo pubblicitario ma rischia anche una multa salatissima. Il Wall Street Journal riferisce che il garante della privacy dell’Irlanda, Paese in cui Facebook ha posto la sua sede legale per operare in Europa, ha avviato un’indagine sulla violazione dei 50 milioni di account basandosi sul GDPR, il nuovo regolamento Ue sulla gestione dei dati personali introdotto qualche mese fa. “Siamo preoccupati del fatto che questa violazione riguardi molti milioni di account e che Facebook non sia in grado di chiarirne la natura e i rischi”, ha detto l’autorità di Dublino. Se trovata in difetto, l’azienda di Menlo Park potrebbe subire una multa da 20 milioni di euro o addirittura del 4% del fatturato annuale in caso di grave inadempienza. Si parla di una cifra superiore a 1,6 miliardi di euro considerando il giro d’affari registrato da Facebook nel 2017.