Non è stata Facebook a porre in tale luogo i dati, sono stati raccolti da due aziende terze, che hanno violato le policy di Facebook archiviandoli pubblicamente.
Due cache non protette di dati di utenti Facebook, una delle quali con 540 milioni di record, sono state recentemente scoperte sui server cloud di Amazon, in base a quanto affermato dall’azienda di monitoraggio delle violazioni dei dati UpGuard in un post pubblicato mercoledì 3 aprile. Ma il fatto che ce ne fossero così tanti di dati di utenti e che sembra sia anche stato abbastanza facile trovarli, fa domandarsi quanti più dati di utenti di Facebook siano presenti nel Cloud e oltre la portata di Facebook.
“Per via del fatto che Facebook sta affrontando i controlli sulle sue pratiche in merito a gestione dei dati, ha fatto sforzi per ridurre l’accesso di terzi”, afferma il post di UpGuard, “ma come dimostrano queste falle, il genio dei dati non può essere ricacciato nella bottiglia: i dati sugli utenti di Facebook si sono diffusi ben oltre i limiti di ciò che oggi Facebook riesce a controllare”.
Per essere chiari, i 540 milioni di record trovati nel più grande dei due set di dati non si traducono in 540 milioni di utenti di Facebook. Questo set di dati è stato raccolto da un’azienda messicana di media digitali denominata Cultura Colectiva, che ha un bel sito web, pesante e ricco di foto, sia in spagnolo che in inglese, dedicato a tutto sia latino-americano, oltre che a molta cultura pop. È una sorta di ibrido tra Mashable, Tumblr e BuzzFeed.
Cultura Colectiva, che è attiva dal 2013, invita i lettori a condividere le sue storie su Facebook, Twitter, WhatsApp e Pinterest. Il suo sistema di commenti utilizza l’API di Facebook. Chiunque desideri commentare deve accedere a Facebook e rimanere connesso.
Sembra che i 540 milioni di record possano in realtà essere un aggregato di tutti i “commenti, mi piace, reazioni, nomi di account, ID di Facebook e altro”, come ha descritto UpGuard, relativi ad ogni commento mai fatto su qualsiasi storia di Cultura Colectiva.
Si tratta comunque di circa 146 gigabyte di materiale, secondo quanto affermato da UpGuard. Sarebbe una ricca raccolta di dati sugli utenti di Facebook da utilizzare per chiunque fosse interessato, ma non dovrebbe includere password di Facebook e non offre alcun percorso direttamente negli account di Facebook.
Spiacenti, la “piscina” è chiusa
L’altro set di dati è stato raccolto da una startup social media fallita chiamata At the Pool che mirava a “mettere in comune” persone che condividevano interessi affini e che si trovavano geograficamente vicine l’una all’altra. A un certo punto, At the Pool richiedeva l’autenticazione con Facebook.
Il pacchetto di dati su Amazon di The Pool trovato da UpGuard conteneva dati su 22.000 utenti di Facebook, tra cui:
- l’ID utente di Facebook
- i Mi piace
- gli amici
- le foto
- i gruppi
- gli interessi
Vi erano anche delle password in chiaro, ma non password per Facebook.
“Le password sono presumibilmente per l’app di At the Pool, piuttosto che per l’account Facebook dell’utente, ma metterebbero a rischio gli utenti che hanno riutilizzato la stessa password tra gli account”, ha osservato il blog di UpGuard.
Dopo due anni di attività, At the Pool è andato a gambe all’aria nel 2014 e i dati potrebbero essere rimasti lì senza protezione sul Cloud di Amazon per cinque anni. Tra l’altro, i dati sono stati rimossi dal server Amazon mentre i ricercatori di UpGuard hanno iniziato a frugarci dentro e prima che ci fosse la possibilità di avvisare qualcuno.
“Non è noto se questa sia una coincidenza, se c’è stato un periodo di hosting scadente, o se una parte responsabile è venuta a conoscenza dell’esposizione in quel dato momento”, ha scritto UpGuard. “Indipendentemente da ciò, l’applicazione non è più attiva e tutti i segnali indicano che l’azienda madre è stata chiusa”.
Silenzio radio
Diverso il caso dei dati di Cultura Colectiva. UpGuard ha affermato di aver parlato con Cultura Colectiva della questione il 10 gennaio e il 14 gennaio, e ha comunicato la cosa agli amministratori di Amazon il 1 febbraio e il 21 febbraio.
“Non è stato fatto niente fino alla mattina del 3 aprile 2019, dopo che Facebook è stata contattata da Bloomberg per un commento in merito”.
540 milioni di record di Facebook scoperti su server Amazon: hanno perso il controllo?
Queste due storie hanno finali vagamente felici, perché non ci sono prove che qualcuno, oltre ai ricercatori di UpGuard, fosse a conoscenza di entrambi i set di dati, anche se naturalmente non possiamo saperlo con certezza.
Il rovescio della medaglia è che ciò che questi “racconti” indicano è che molte e molte aziende, molte delle quali non avete mai sentito parlare, hanno dei agganci con i contenuti degli utenti su Facebook. Ci sono quasi certamente tonnellate di altri dati di Facebook memorizzati sui server web di Amazon. Questi due set di dati sono semplicemente ciò che i ricercatori UpGuard sono stati in grado di trovare e non vuol dire che non ve ne siano altri.
Finora, la quantità di dati di Facebook usati in modo improprio di cui abbiamo appreso – fra cui Cambridge Analytica e questi due database – sono probabilmente solo la punta dell’iceberg.
“I dati esposti in ognuno di questi set non esisterebbero senza Facebook, ma questi set di dati non sono più sotto il controllo di Facebook”, ha concluso il post di UpGuard.
“La piattaforma di Facebook ha facilitato la raccolta di dati sulle persone e il loro trasferimento a terzi”, ha aggiunto, “la responsabilità di proteggere [i dati utente di Facebook] si trova anche in milioni di sviluppatori di app che hanno costruito sulla sua piattaforma.”
Francesco Marino
Giornalista esperto di tecnologia, da oltre 20 anni si occupa di innovazione, mondo digitale, hardware, software e social. È stato direttore editoriale della rivista scientifica Newton e ha lavorato per 11 anni al Gruppo Sole 24 Ore. È il fondatore e direttore responsabile di Digitalic
