News

50 milioni di utenti Facebook a rischio dopo l'attacco hacker. Ma cosa è successo?

Con 50 milioni di utenti coinvolti, quello di domenica è solo l'ultimo attacco che conferma la grave carenza di sicurezza di Facebook. Abbiamo chiesto a Pierguido Iezzi di aiutarci a fare chiarezza. Ma Zuckerberg non può continuare a giocare con i nostri dati: unisciti alla battaglia e richiedi un risarcimento.

04 ottobre 2018
Attacco hacker Facebook

Dopo il caos generato dalla vicenda Cambridge Analytica, non sembrano placarsi i guai in casa Facebook. Lo scorso 28 settembre, infatti, Mark Zuckerberg ha confermato tramite il proprio profilo l'attacco che ha interessato circa 50 milioni di utenti, cinque dei quali sarebbero europei. Ma cosa è successo esattamente? In pratica, sfruttando una falla nella sicurezza, sono stati violati i profili di milioni di utenti, che hanno dovuto ripetere il login per utilizzare nuovamente il social network.

L'attacco ha colpito gli access token 

Gli hacker che hanno colpito i profili degli utenti hanno approfittato delle falle di sicurezza in alcune funzionalità di Facebook, come i video di auguri di buon compleanno, per impossessarsi degli access token di decine di milioni di utenti. Cos'è esattamente un access token? In pratica si tratta di quella modalità di registrazione che permette un accesso più rapido ai siti con registrazione, grazie ai dati inseriti sul proprio profilo Facebook o Google. L'access token serve proprio a registrarsi su un sito abbreviando il processo di inserimento dei dati, senza dover pensare a nuove combinazioni di nome utente e password.

Intervista con Pierguido Iezzi 

Per spiegare come si è svolto l'attacco, cosa ha comportato e per capire come è meglio comportarsi, abbiamo intervistato Pierguido Iezzi, fondatore di Swascan ed esperto di cyber security. Ecco cosa ci ha raccontato.

Come si è svolto l'ultimo attacco?
L’attacco ha sfruttato tre vulnerabilità diverse di due funzionalità di Facebook: quella che permette di visualizzare la propria pagina come se fossimo un utente diverso (che serve per vedere come gli altri vedono la nostra pagina facebook) e quella che consente di inviare video auguri di compleanno agli amici. Gli attaccanti hanno scoperto alcuni bug che hanno loro consentito di generare l’access token degli utenti a cui veniva inviato il video di auguri. Hanno poi creato una batteria di falsi profili facebook, che oggi si possono generare facilmente in maniera automatica, ciascuno dei quali ha richiesto migliaia di amicizie di persone reali. In seguito hanno lanciato un altro strumento automatico con il quale hanno attaccato le persone che avevano accettato l’amicizia di uno di quei falsi utenti.
Quali sono le particolarità rispetto ad altri casi analoghi di cui abbiamo letto di recente?
Il fatto che sia stato attaccato l’access token. Per via della pervasività di Facebook, le vittime dell’attacco non sono state colpite solo nel loro profilo Facebook, cosa già di per sé grave, ma in tutti gli altri siti presso i quali gli utenti si sono registrati usando la funzionalità di cui stiamo parlando. Dunque gli attaccanti potenzialmente hanno avuto accesso ai profili di questi utenti anche su migliaia di altri siti, come Spotify, Airbnb… potendo usarli al posto della vittima, pubblicando foto, recuperando informazioni, cambiando la password, etc.
Quali sono le motivazioni dietro a un attacco del genere?
Le motivazioni sono economiche: in primis la vendita di informazioni (si pensi che oggi un singolo record sanitario completo di un americano - che include anche dati sul suo conto corrente e altre informazioni sensibili - sul mercato nero vale 300$), ma anche phishing più mirati, spamming direttamente sugli account degli utenti e altro ancora. Escluderei invece motivazioni quali spionaggio o terrorismo, che sono altri tipi di attacchi esistenti ma che si svolgono con modalità diverse.
Cosa ne pensi delle modalità scelte da Facebook per comunicare quanto è accaduto?
Una cosa che mi ha colpito è che queste vulnerabilità con ogni probabilità sono presenti dal 2017. E cinquanta milioni di utenti, con il metodo che ho descritto prima, non li attacchi in un giorno e nemmeno in una settimana, probabilmente ci vogliono mesi. Mi chiedo come ha fatto Facebook a non accorgersene prima. Aggiungo che se siamo venuti a sapere di questo attacco è anche per merito del GDPR, il nuovo regolamento europeo sulla privacy, che obbliga le aziende a comunicare quanto accaduto.
Che insegnamenti possiamo trarre da questa vicenda?
I punti principali a mio avviso sono due: uno è che più funzionalità inserisci all'interno di una piattaforma più ne aumenti la complessità e la probabilità di avere bug di sistema. Questo attacco non fa che sottolineare le mancanze a livello di sicurezza preventiva diffuse in tutta la società (stando ad alcune analisi, oggi quasi tutti i siti internet hanno almeno una vulnerabilità nota, sfruttabile da chiunque ne abbia capacità e motivazioni). L’altro punto è che la più grande banca dati mondiale di informazioni sui privati e in mano a un privato: non è più una questione solo di sicurezza informatica ma è una anomalia di sistema. Ormai siamo tutti interconnessi e difendersi da soli non basta più: l'intervento governativo diventa obbligatorio, non possiamo delegare alle singole aziende la scelta della modalità di sicurezza.
Hai qualche consiglio pratico da dare agli utenti?
Come detto, difendersi da soli non è possibile, ma questo non vuol dire che non ci siano cose a cui fare attenzione. Per esempio accettare l’amicizia da sconosciuti su Facebook in questo caso specifico è stato veicolo dell’attacco. La protezione a due fattori (cioè l’uso di un fattore di protezione ulteriore oltre alla password, come i codici da ricevere sul telefono) in questo caso non avrebbe protetto dall’attacco, ma in altri casi è sicuramente utile. Senz’altro consiglierei a tutti, indipendentemente se colpiti o no, di cambiare la password su Facebook: io l’ho cambiata appena ho saputo della notizia.

Hai un profilo Facebook? Unisciti alla battaglia

Facebook non può giocare con i nostri dati personali. Chiediamo, per tutti gli utenti del social network, un risarcimento di almeno 200 euro per l'uso improprio che ha fatto in tutti questi anni. Aderisci gratuitamente all'azione.

Unisciti alla battaglia