Facebook ha fornito un aggiornamento sull'indagine sull'enorme sfruttamento dei dati che ha segnalato agli utenti il 28 settembre. Mentre il numero complessivo di persone colpite è inferiore a quello precedentemente previsto (30 milioni anziché 50 milioni), questa è l'unica buona notizia.
Come è successo. Gli aggressori sono stati in grado di sfruttare una combinazione di tre bug software separati per ottenere i token di accesso di Facebook (utilizzati per consentire agli utenti di rimanere connessi nell'app) e rilevare gli account degli utenti. Hanno rubato i token di circa 30 milioni di utenti di Facebook.
Timing. Facebook dice di aver scoperto l'attacco il 25 settembre e di aver iniziato a notificare gli utenti il 28 settembre. Per due settimane, dal 14 al 27 settembre, gli hacker sono stati in grado di utilizzare i token di accesso per estrarre i dati. Ciò significa che ci sono voluti due giorni per risolvere il problema e invalidare i token di accesso.
Effetto collasso della rete. Come per lo scandalo Cambridge Analytica, il grafico sociale di Facebook ha aperto l'accesso agli amici di Facebook e ha permesso agli aggressori di sfruttare l'effetto della rete. Iniziando con il proprio gruppo di amici, "(gli attaccanti) hanno utilizzato una tecnica automatica per spostarsi dall'account all'account in modo da poter rubare i token di accesso di quegli amici, e per gli amici di quegli amici, e così via, per un totale di circa 400.000 persone, "Ha scritto Guy Rosen, vicepresidente di Facebook per la gestione dei prodotti, in un post sul blog. Hanno quindi avuto accesso agli elenchi di amici da una serie di 400.000 iniziali per accedere ai token di circa 30 milioni di persone.
- Per quei 400.000 profili, gli aggressori possono accedere ai loro post timeline, elenchi di amici, gruppi a cui appartengono e nomi delle recenti conversazioni di Messenger. I messaggi inviati a Pages sono stati esposti anche se i loro amministratori di pagine facevano parte di quel gruppo.
- 15 milioni di persone hanno avuto i loro nomi e dettagli di contatto (numero di telefono, e-mail o entrambi) accessibili.
- 14 milioni di persone hanno i loro nomi, i dettagli di contatto e "altri dettagli che le persone hanno sui loro profili". Quella lista di altri dettagli è ampia: username, genere, lingua / lingua, stato relazionale, religione, città natale, città attuale autoproclamata, data di nascita , tipi di dispositivi utilizzati per accedere a Facebook, istruzione, lavoro, gli ultimi 10 luoghi in cui sono stati registrati o sono stati taggati, sito Web, persone o Pagine che seguono e le 15 ricerche più recenti.
- Un altro milione di persone hanno rubato i loro token ma non hanno avuto accesso alle loro informazioni, ha detto Facebook.
Chi l'ha fatto? Facebook dice che sta lavorando con l'FBI e gli è stato chiesto di "non discutere chi potrebbe essere dietro questo attacco".
Perchè importa. Le conseguenze per le persone colpite potrebbero durare anni, tra cui l'autenticazione a due fattori compromessa, il furto di identità e le preoccupazioni di hacking in corso. Facebook sta già affrontando indagini normative nell'UE e negli Stati Uniti rispetto alle sue pratiche di gestione dei dati. Dopo due anni molto, molto brutti, questo exploit porterà un ulteriore controllo regolamentare e indebolirà ulteriormente la fiducia degli utenti nell'azienda. Nulla di così lontano sembra aver davvero scosso gli inserzionisti. Se questo fa scattare più utenti casuali, gli inserzionisti potrebbero seguire.