Dopo l’attacco informatico che ha colpito la piattaforma coinvolgendo un totale di 90 milioni di account tra i 50 colpiti e i 40 resettati per scrupolo, il social network spiega attraverso il vice presidente della sezione Engineering, Security e Privacy, Pedro Canahuati, che “La vulnerabilità è stato il risultato della combinazione di tre bug distinti” mettendo il punto a tutte le congetture degli addetti ai lavori.
La violazione non riguarda solo i profili Facebook, ma anche tutte quelle applicazioni a cui si accede tramite l’account dato che riguarda la compromissione delle chiavi di accesso, i token, al servizio.
Le funzioni della piattaforma interessate sono “Visualizza come“, utilizzata dagli utenti per osservare il proprio profilo con occhi esterni, e l’aggiornamento della versione del caricamento video introdotta nel luglio dello scorso anno e che, a sua volta, ha generato un token di accesso compromesso con le autorizzazioni dell’app Facebook per i dispositivi mobili che permette l’autenticazione anche ad altre piattaforme senza dover inserire la password. Entrarne in possesso significa quindi potersi sostituire al leggimo proprietario.
“La combinazione di questi tre bug è diventata una vulnerabilità – gli aggressori sono quindi stati in grado di passare da un singolo token di accesso ad altri account, eseguendo le stesse azioni e ottenendo ulteriori token di accesso”. “Per proteggere gli account delle persone, abbiamo risolto la vulnerabilità – ribadisce Canahuati -. Abbiamo anche reimpostato i token di accesso dei quasi 50 milioni di account che sappiamo essere interessati e abbiamo anche preso il provvedimento cautelativo di reimpostare i token di accesso per altri 40 milioni di account che hanno usato la funzione “Visualizza come” nell’ultimo anno. Infine, abbiamo temporaneamente disattivato questa funzione mentre stiamo eseguendo un’analisi approfondita della sicurezza”.
Guy Rosen, vice presidente della gestione prodotto di Facebook, ha spiegato che “non è necessario cambiare la propria password”, ma suggerisce tuttavia che “le persone che hanno problemi ad accedere di nuovo a Facebook, ad esempio perché l’hanno dimenticata, dovrebbero tuttavia visitare il nostro Centro assistenza”.
Gli esperti sono tutt’altro che rassicurati dalla dichiarazione in quanto, come spiegato all’agenzia Ansa da Gabriele Faggioli responsabile dell’Osservatorio Information Security del Politecnico di Milano e presidente del Clusit: “L’attacco hacker a Facebook è preoccupante”, “Si tratta di una problematica non di grande sofisticatezza e la falla si poteva evitare. Dopo il caso Cambridge Analytica, Facebook dà l’idea di non gestire la privacy degli utenti. Difficile dire al momento quali siano i dati rubati dai criminali informatici ma è possibile che le stesse chiavi digitali posano essere utilizzate per entrare in altre app collegate, servizi o e-mail da cui prendere diverse informazioni, anche bancarie. Vedo più l’interesse della cara vecchia cyber-criminalità, piuttosto che un attacco politico o sponsorizzato da uno Stato” e indica inoltre come “è sicuramente utile cambiare la password” anche se, a prescindere da questo evento specifico, è una prassi da adottare “con una certa frequenza”.
Mentre i vertici della sicurezza informatica della piattaforma analizzano l’accaduto, cercando di capire i reali danni alla privacy dei propri utenti, la società ha provveduto ad allertare l’FBI e le autorità per la tutela della Privacy. Nello specifico, in ottemperanza al nuovo Regolamento Generale della Protezione dei Dati, è stata informata l’Autorità per la protezione dei dati personali dell’Irlanda dove Facebook ha il suo distaccamento Europeo.
“Il bug è di tipo logico ed era sotto il naso di tutti perché associato a una funzione molto usata. Ma la falla è probabilmente dovuta al crescere della complessità del codice software sottostante la piattaforma”, spiega Fabio Pietrosanti del Centro Hermes per i diritti digitali. Ma se da Menlo Park ammettono che “le indagini sono appena iniziate” affermano anche che non è stato ancora determinato “se questi account sono stati utilizzati in modo improprio o se sono state carpite informazioni”.
Giovanni Mellini, presidente dell’associazione Cybersaiyan e organizzatore di RomHack ha commentato l’accaduto da un punto di vista personale visto che “Io stesso sono stato disconnesso per ben quattro volte dalla piattaforma in seguito alle operazioni di correzione della falla da parte di Facebook. Il token è ciò che ti permette di autenticare ogni applicazione che usi per accedere alla piattaforma senza digitare la password e accedere al profilo Facebook e queste operazioni hanno invalidato i token potenzialmente compromessi. È importante però sottolineare che questo non significa che la propria identità è compromessa. Tuttavia come misura precauzionale cambierei subito la password. È importante sottolineare che una falla di questo tipo, anche se limitata a un sottoinsieme di utenti, ha un impatto gigantesco a causa del numero di utenti totali della piattaforma”.
Al momento dall’azienda non arrivano commenti sugli attaccanti o su quale sia la provenienza della violazione e Zac Morris, dipendente Facebook dal 2012 al 2016 nella divisione sicurezza, ha indicato come “Sono più interessato a capire chi ha perpetrato l’attacco e perché, visto che riportare quella vulnerabilità vale 30.000 dollari per il Bug Bounty Program di Facebook (programma di individuazione delle vulnerabilità della piattaforma). Se non è stata denunciata potrebbe significare che gli attaccanti hanno trovato un modo migliore di monetizzare la falla”.
Un’osservazione che alimenta le teorie del complotto che vedono dietro questo attacco un Nation State Hacker, ovvero criminali informatici assoldati da un gruppo di Stati.
Pochi giorni prima della violazione, Facebook aveva risposto affermativamente a quanto era emerso da un’indagine condotta dalle università americane Northeastern e Princeton secondo cui gli inserzionisti avrebbero libero accesso agli shadow data, quei dati presenti in un profilo come i recapiti telefonici utilizzati dagli utenti per accedere al proprio account in maniera sicura utilizzando l’autenticazione a due fattori, che potrebbero quindi essere utilizzati per finalità lontane dalla classica interazione sociale in rete.
Con l’entrata in vigore del GDPR questo data break potrebbe infliggere un duro colpo alle casse del social network. La commissione per la privacy di Dublino si è fatta portavoce dell’intera comunità europea e si starebbe preparando ad avviare un indagine sull’accaduto in quanto “Siamo preoccupati del fatto che questa violazione riguardi molti milioni di account e che Facebook non sia in grado di chiarirne la natura e i rischi”.
Se dall’inchiesta dovesse emergere che la piattaforma non avesse preso le dovute precauzioni per evitare la violazione, la multa prevista dal GDPR ammonta a 20 milioni di euro oppure, in base all’entità del danno subito dai cittadini europei, il 4% del fatturato annuale che nel caso specifico si tratterebbe di circa 1,63 miliardi di dollari tenendo conto del bilancio del social network dello scorso esercizio.
Resta quindi da stabilire se le precauzioni del caso siano state prese e, in caso negativo, quanto grave sia stata la compromissione dei dati dei circa 5 milioni di account europei coinvolti.
Lascia un commento