Sono rimasti disponibili sino a giovedì su un sito che ricondurrebbe a un’organizzazione di cybercriminali. Il social: “Crediamo che si tratti di dati molto probabilmente ottenuti prima dei cambiamenti che abbiamo apportato negli ultimi anni per proteggere meglio le informazioni delle persone”

di DANIELE VULPI

SAN FRANCISCO – C’è un database spuntato sul web che inquieta non poco Facebook. Contiene i nomi e i numeri di telefono di più di 267 milioni di utenti del social più popolato al mondo con il suoi 2,2 miliardi di iscritti. ll problema è che questa enorme mole di dati si poteva scaricare liberamente. Come hanno fatto gli stessi tecnici informatici di Facebook da un forum di hacker che – secondo un blog della società Comparitech – porta dritto a un gruppo di cybercriminali. “Stiamo esaminando questo problema, ma crediamo che si tratti di dati molto probabilmente ottenuti prima dei cambiamenti che abbiamo apportato negli ultimi anni per proteggere meglio le informazioni delle persone”, ha detto un portavoce del social all’agenzia France Press.

Dichiarazioni che consentono di tirare solo un mezzo sospiro di sollievo: trattandosi di dati vecchi, molti potrebbero non essere più aggiornati. Ma le rassicurazioni finiscono qui. Resta da capire quanto tempo sono stati disponibili online (sembra non più di due settimane) e, soprattutto, chi li ha scaricati. Tutti dati – prevalentemente di iscritti americani, pare – che potrebbero essere utilizzati per truffe di phishing o altri atti criminali in rete. Secondo quanto riferisce Comparitech, è stato il ricercatore sulla sicurezza Bob Diachenko a individuare il database, un documento che era accessibile sul forum di hacker – senza password o qualsiasi altra forma di autenticazione – e conteneva i nomi degli utenti di Facebook, gli ID utente e i numeri di telefono. Immediatamente questa scoperta è stata segnalata al sito e il database già ieri – giovedì – non era più online. Ma come i criminali sono riusciti ad entrare in possesso di questa enorme mole di dati? Molto probabilmente – suggeriscono i ricercatori – con un’azione (illegale, naturalmente) di web scraping, ovvero estraendo dati da un sito con software ad hoc. Un’altra strada per impadronirsi di questo database potrebbe essere stata quella di un hacking delle API di Facebook.

Non è la prima volta che i dati di milioni di utenti di Facebook vengono divulgati in rete. Lo scorso settembre, un ricercatore della sicurezza ha scoperto un database ancora più grande di questo: 419 milioni di dati collegati agli account di Facebook. Un anno fa, un caso di hacking ha disvelato 29 milioni di utenti, mentre un errore di programmazione ha esposto 540 milioni di dati di Facebook. Non solo: lo stesso social, ha indagato internamente su suoi dipendenti di Facebook che potrebbero aver avuto accesso a 200-600 milioni di password in chiaro degli utenti. Nessuno intenzionalmente, pare dalle conclusioni. Come che sia, siamo dinanzi una striscia dell’orrore se si parla di privacy.

Certo è che la rivelazione di questo “data breach” di Facebook arriva nel momento più complicato del social, proprio mentre si sforza di ricostruire la fiducia dei suoi utenti e rassicurarli sul grado di protezione delle loro informazioni rafforzando le protezioni. Appena all’inizio di questo mese le autorità per la privacy statunitensi mese hanno sancito che la società di consulenza britannica Cambridge Analytica – al centro di un clamoroso scandalo che coinvolge il dirottamento dei dati di Facebook – ha ingannato gli utenti del social network su come ha raccolto e gestito le loro informazioni personali.

La Federal Trade Commission ha concluso la sua indagine – avviata nel marzo 2018 – affermando che l’ormai defunta società di consulenza politica “si è impegnata in pratiche ingannevoli per raccogliere informazioni personali da decine di milioni di utenti di Facebook per la profilazione e il targeting degli elettori”. La FTC ha poi aggiunto che la società britannica, impegnata nella campagna presidenziale di Donald Trump del 2016, ha fatto affermazioni “false e fuorvianti” quando ha offerto agli utenti di Facebook un “quiz sulla personalità” – dichiarando che non avrebbe scaricato nomi o qualsiasi informazione personale identificabile. Il caso aveva creato un vero e proprio sisma sul terreno già poco stabile della protezione dei dati quando è stato reso noto che Cambridge Analytica è stata in grado di creare profili psicologici utilizzando i dati di milioni di utenti di Facebook.

Sul caso ha indagato lo stesso social in blu, scoprendo che alcuni dati di 87 milioni di utenti negli Stati Uniti e in qualche altro paese erano stati compromessi dall’azienda britannica, ribadendo che queste pratiche violavano i termini di servizio del social network. Facebook ha poi dovuto comunque pagare una penale record di 5 miliardi di dollari – per la cattiva gestione dei dati privati degli utenti – all’inizio di quest’anno in ragione di un accordo con l’autorità di regolamentazione.