facebook-privacy Fonte foto: Ink Drop / Shutterstock.com
SICUREZZA INFORMATICA

Facebook, incubo privacy: dati di milioni di iscritti scoperti online

Altra grana per Facebook. Una società di sicurezza informatica ha scoperto dati di milioni di iscritti liberamente accessibili online. All'interno i dettagli

4 Aprile 2019 - Due nuove fughe di dati personali di Facebook sono state scoperte negli scorsi giorni e una di esse è veramente enorme: 540 milioni di record contenenti i dati di profili Facebook, infatti, sono stati scoperti dal team di Cyber Risk di UpGuard su un database accessibile a tutti. Il secondo leak, invece, interessa i dati di “soli” 20.000 utenti.

Quei 540 milioni di record sono stati trovati da UpGuard in un file da 146 GB ospitato su un “bucket” di Amazon S3, cioè una sorta di database in cloud dove vengono archiviati dati in modo ordinato e ricercabile, e dove diventano accessibili da remoto. Se questi dati non sono correttamente protetti, però, possono essere consultati da tutti. I dati sono stati caricati online da una società messicana, Cultura Colectiva. La seconda fuga di dati, invece, proviene da un altro bucket, sempre non protetto, messo online da “At the Pool“. Quest’ultima è, o meglio era, una app gestita da una società che ha chiuso i battenti nel 2014 scordandosi, a quanto pare, di cancellare i dati raccolti durante le sue attività.

Quali dati Facebook sono a rischio

Tra i record dell’enorme database di Cultura Colectiva c’è un po’ di tutto: ID Facebook, nome utente, i like, la musica, i film e i libri preferiti, le foto, gli eventi, i gruppi, i check-in, gli interessi, le password e molto altro. Ognuno di questi dati è contenuto in un record del database, quindi si può ipotizzare che quei 540 milioni di record si riferiscano almeno a qualche decina di milioni di utenti. Tra i dati di At the Pool, invece, ci sono nome utente, indirizzo email, ID Facebook e password. E’ presumibile che, in questo caso, le password siano quelle per l’accesso all’app, ma come è noto molti utenti ancora usano una sola password sia per il profilo Facebook che per tutte le app e persino per i log in su siti al di fuori di Facebook.

I dati sono stati cancellati?

UpGuard ha scoperto questi due grossi leak di dati a inizio gennaio 2019. Il 10 gennaio ha inviato la prima e-mail a Cultura Colectiva, che non ha risposto. Il 14 gennaio ha inviato una seconda e-mail, di nuovo senza risposta. Poi il 28 gennaio ha chiesto informazioni ad Amazon Web Services (AWS), la società di Amazon che gestisce lo storage dei dati online, che ha risposto il primo febbraio affermando di aver avvertito Cultura Colectiva del pericolo. Il 21 febbraio UpGuard ha scritto di nuovo ad AWS, per comunicare che i dati erano ancora lì e senza alcuna crittografia o altra forma di protezione. Ieri, 3 aprile, Bloomberg è venuta a conoscenza di questo problema e ha contattato Facebook per un commento. Poco dopo i dati sono stati messi al sicuro, ma non cancellati. I dati raccolti da At the Pool, invece, non hanno più un padrone perché la società ha chiuso da anni. Ma sono stati messi misteriosamente offline prima ancora che UpGuard inviasse una notifica formale ad AWS.

Contenuti sponsorizzati