Quando Facebook ha annunciato lo scorso venerdì che 50 milioni di account utente sono stati compromessi, molti di noi non erano sicuri di cosa pensare.
Ciò significava che 50 milioni di utenti erano stati esposti a contenuti provenienti da una campagna di disinformazione coordinata, a parte le elezioni presidenziali americane del 2016?
O significava che i dati personali erano stati raccolti in modo improprio da uno sviluppatore di app, come nel caso di 87 milioni di utenti nello scandalo di Cambridge Analytica?
Nessuno dei due. Questa volta, i cattivi attori erano hacker e sono stati in grado di trarre vantaggio da tre bug del sito separati in un modo che permetteva loro di prendere in carico gli account degli utenti e di utilizzarli come se fossero i proprietari degli account stessi.
Ma sembra che ci sia un diffuso malinteso su cosa sia successo esattamente, e quanto gravi possano essere le implicazioni. E questo è comprensibile – è un trucco complesso su cui non è stata rivelata una tonnellata di informazioni, in particolare da Facebook, che ha portato a una reazione mista tra gli utenti.
Ecco cosa è successo, oltre a ciò che i nostri dati mostrano sul sentiment degli utenti alla luce dell'ultima violazione, e cosa potrebbe esserci dietro questa reazione.
Una ripartizione di ciò che è successo
Facebook ha segnalato per la prima volta la violazione venerdì 28 settembre – circa tre giorni dopo la presunta scoperta del problema, secondo una dichiarazione ufficiale scritta dal vicepresidente della gestione del prodotto Guy Rosen.
C'è stato un normale picco di attività rilevato dal sito intorno alla metà di settembre – il 16, secondo le osservazioni fatte da Rosen durante una chiamata stampa – che ha portato a un'indagine e alla scoperta completa il 28.
È iniziato con una vulnerabilità nella funzione "Visualizza come" del sito, che consente agli utenti di vedere come potrebbero apparire i loro profili a un altro utente.
Fonte: TechCrunch
L'uso della funzione Visualizza come dovrebbe consentire di fare solo questo e, quando funziona correttamente, blocca qualsiasi possibilità di inserire il testo nelle caselle di composizione o di alterare in altro modo il profilo visualizzato.
Tuttavia, a causa di questo primo bug, View As ha fornito l'opportunità di caricare un video.
È a causa di quel video uploader che viene visualizzato che si è verificato il secondo bug.
Per il secondo bug, l'uploader video ha generato in modo improprio un token di accesso.
Cos'è un token di accesso? In sostanza, un token di accesso consente di utilizzare un account (come Facebook, Twitter o Google) per accedere a diversi servizi o app.
Potresti avere familiarità con Facebook Login, che consente agli utenti di accedere a un'app utilizzando le loro credenziali di Facebook, sia che si tratti di Facebook o di un'altra app che utilizza queste autorizzazioni, come Tinder. Le immagini sottostanti mostrano come appare un Login di Facebook su Tinder.
Tale token di accesso fornisce quindi all'app di terze parti l'accesso ai dati di Facebook dell'utente, come il profilo pubblico, l'elenco di amici, i compleanni, le foto, i Mi piace della pagina e l'indirizzo e-mail indicati nel login di Tinder sopra illustrato.
Dmitry Shamis, direttore dello sviluppo Web di HubSpot, descrive un token di accesso come "una password che non è necessario reimmettere", che consente di rimanere connessi sia a Facebook sia a queste altre app senza dover ripetere la procedura.
Ed ecco dove arriva il terzo bug. I token di accesso generati dal primo e secondo bug erano in realtà per gli account degli utenti i cui nomi erano stati inseriti nella casella "Visualizza come", e non l'utente di cui è stato visualizzato il profilo.
Come diceva Rosen: il token di accesso generato "non era per te, ma per la persona che veniva cercata. Tale token di accesso era quindi disponibile nell'HTML della pagina, che gli hacker erano in grado di estrarre e sfruttare per accedere come un altro utente. "
Pertanto, gli hacker potrebbero "utilizzare l'account come se fossero titolari dell'account", ha affermato Rosen. Sono stati presi i token di accesso di circa 50 milioni di utenti. Facebook ha anche affermato che altri 40 milioni di utenti sono stati oggetto di una ricerca "View As" durante l'ultimo anno, anche se non è chiaro se sono stati presi token di accesso per tali account.
Perché potrebbe essere peggio di quanto sembri
Facebook ha delineato le misure adottate in risposta alla violazione, iniziando con la riparazione della "vulnerabilità", rimuovendo la funzionalità Visualizza come (per ora) e facendo un reset completo dei token di accesso per i 50 milioni di account interessati dall'hack.
Secondo le osservazioni fatte da Rosen durante una chiamata stampa lo scorso venerdì mattina, quel reset ha reso i token di accesso presi dagli hacker "non più utilizzabili".
Ma secondo Jason Polakis, un assistente professore di informatica presso l'Università dell'Illinois a Chicago, potrebbe non essere il caso, sulla base dei risultati di uno studio condotto da lui e da altri presso l'università.
Secondo i risultati dello studio, se gli hacker in questa violazione di Facebook hanno, infatti, ottenuto l'accesso ad app di terze parti come utenti i cui account sono stati compromessi, ci sono modi per loro di mantenere quell'accesso, anche se i token vengono reimpostati , come descritto da Rosen.
Ancora più importante, una volta che gli aggressori hanno accesso a tali terze parti, possono mantenere l'accesso agli account utente in tali siti Web utilizzando i cookie impostati da tali siti. Non importa cosa faccia il FB, non possono fare nulla per impedire agli attaccanti di accedere a quegli account. (9 / n)
– jason polakis (@jpolakis) 29 settembre 2018
Ora, Polakis era sicuro di specificare che questo fenomeno potrebbe non essere "applicabile qui". Ma Facebook si è detto che ha pochissime informazioni su come questi token di accesso sono stati usati dagli hacker, ed è incerto su quando sono stati ottenuti i token.
Secondo Axios, Tinder ha detto di non aver trovato alcuna "prova per suggerire che gli account siano stati consultati in base alle informazioni limitate fornite da Facebook" – ma allo stesso tempo, Facebook non ha fornito l'app con un elenco di utenti interessati da l'hack. Avere quell'informazione, disse Tinder, sarebbe "molto utile" nel determinare come i token di accesso rubati potrebbero essere stati usati sulla sua app.
NOVITÀ: Tinder dice che non ci sono prove di accesso * a * a causa della violazione di Facebook, ma Facebook non ha condiviso informazioni che sarebbero state "molto utili" per la sua indagine.https: //t.co/EYMrv4qAwi @techmeme
– David McCabe (@dmccabe) 1 ottobre 2018
Spotify, che offre anche l'accesso a Facebook, ha anche dichiarato alla pubblicazione che non ha subito violazioni a seguito dell'hack. Facebook dice che la sua indagine sulla questione è ancora nelle sue fasi iniziali.
Percezione pubblica: le persone si prendono cura dell'Hack?
Il lunedì, dopo la notizia della violazione, si sono verificati due sondaggi.
Il primo sondaggio ha richiesto 727 utenti Internet negli Stati Uniti, nel Regno Unito e in Canada: "Seguendo l'hack del sito di Facebook annunciato la scorsa settimana, hai più o meno fiducia in Facebook con l'archiviazione delle tue informazioni personali?"
Quasi la metà degli intervistati ha dichiarato che è meno probabile che si fidino di Facebook con le proprie informazioni personali.
Quindi, abbiamo eseguito un secondo sondaggio, in cui abbiamo rimosso qualsiasi menzione di un hack del sito. Abbiamo chiesto a un pubblico separato di 753 utenti Internet negli Stati Uniti, nel Regno Unito e in Canada: Nell'ultima settimana, in che modo misuri la tua fiducia generale su Facebook?
Si noti la differenza nelle risposte. Questa volta, quasi tutte le persone che hanno affermato che la loro fiducia in Facebook è diminuita, hanno indicato che i loro livelli di fiducia nell'azienda sono rimasti gli stessi.
Allora, cosa c'è da spiegare per la discrepanza?
Nonostante abbia fornito un'opzione nel primo sondaggio per "Non ho sentito parlare dell'hack del sito", mi sono chiesto quanti rispondenti hanno scelto quella risposta prima di cercare l'hack di Facebook.
Era possibile che, includendo l'hack nella domanda, gli intervistati chiedessero maggiori informazioni prima di rispondere alla domanda? Agli utenti dei social media deve essere detto che dovrebbero essere indignati? O è solo che le persone non sono davvero sorpreso, dato l'anno già tumultuoso di Facebook?
Se chiedi a HubSpot VP di Marketing Jon Dick, la risposta potrebbe trovarsi nella terza risposta.
"Il mio sentimento è che le persone presumono che i loro dati siano costantemente violati, quindi le notizie di Facebook non hanno nemmeno messo in allarme le persone, lo vedi nei tuoi secondi risultati", ha detto. "Ma quando induciamo le persone a far accadere qualcosa di brutto, suscitiamo più risposte".
Combina questa mancanza di allarme, a meno che non sia richiesto diversamente, con il fatto che molti utenti fanno ancora affidamento su Facebook per diversi scopi. La crescita mensile degli utenti attivi potrebbe essere rallentata, ma a livello globale, 223,4 milioni di persone sono ancora sul sito ogni mese.
"La mia opinione personale è che le persone stanno facendo compromessi mentali: è un punto di connessione principale per i membri della famiglia, per le notizie, per la società in generale", afferma il vicepresidente del marketing HubSpot Meghan Keaney Anderson. "E per ora, non c'è una valida alternativa a questo, il compromesso che farei sostenere è che il valore reale di quel punto di connessione, contro la minaccia non ancora concretizzata della privacy o della sicurezza dei dati, è reale. "
Qual'è il prossimo
Per quanto riguarda il prossimo, il tempo lo dirà. Come ha affermato Facebook, l'inchiesta sulla violazione è ancora nelle sue prime fasi.
Ciò potrebbe significare che l'impatto totale sugli utenti potrebbe essere ancora determinato o scoperto – e man mano che maggiori informazioni vengono rivelate, potrebbe continuare a influire sulla percezione pubblica di Facebook.
"Penso che alcune persone non cambieranno il loro comportamento fino a quando non subiranno un forte impatto della perdita della privacy", afferma Keaney Anderson.
Per ora, cosa può fare il resto di noi – inclusi i marketer – per affrontare e risolvere il problema?
Da parte sua, Keaney Anderson suggerisce che il compito principale è tenere informato il pubblico.
"Parte del lavoro che potrebbe essere fatto a questo punto è quello di educare le persone su ciò a cui dovrebbero prestare attenzione a causa di questa violazione dei dati", consiglia. "Ciò potrebbe aiutare le persone a calibrare la loro risposta".
Continueremo a trattare il problema man mano che maggiori dettagli verranno fatti avanti.