La Commissione per la protezione dei dati irlandese (su pressione della Commissione Ue) ha aperto un’indagine sul #Facebookleak di cui ho scritto la scorsa settimana, ovvero sulle circostanze che hanno portato alla diffusione (leak) delle informazioni personali di 533 milioni di utenti, tra cui molti europei – e moltissimi italiani (CorCom).
Dati che, ricordiamolo, includono numeri di telefono.Una delle questioni sul tavolo – sottolineata ad esempio da Wired US, ma anche dalla scorsa newsletter se l’avete letta – è che il genere di vulnerabilità usate per raccogliere tutti quei dati erano state segnalate più volte in passato al social. Ma erano state in qualche modo sottovalutate.
Addirittura un ricercatore aveva riferito anche una falla logica nelle impostazioni dei profili che avrebbe impedito agli utenti di proteggersi da un simile attacco. E che, considerate anche le date, potrebbe essere di interesse per i regolatori.
Infatti anche se un utente avesse deciso di blindare i propri dati (telefono ed email) rendendoli non visibili, non pubblici, scegliendo visibili “Solo a me” nelle impostazioni privacy, avrebbe potuto avere il suo telefono ricercabile attraverso la funzione “Chi può cercarmi”. Che è quella sfruttata dagli attaccanti per enumerare numeri telefonici sconosciuti e associarli attraverso quella funzione a una identità recuperando dal social anche dati aggiuntivi. Ora, non solo questa funzione minava alla base gli sforzi di privacy impostati dall’utente, ma fino al maggio 2019 il sistema non permetteva neanche di sopprimerla, dato che per questa non c’era la scelta “Solo me” tra le opzioni (c’erano a disposizione: Tutti, Amici degli amici e Amici). Ed era impostata di default su Tutti.
Oltre a ciò, come raccontato la volta scorsa, molte voci pubbliche hanno sostenuto di aver avuto tutte le impostazioni blindate e di non capacitarsi del perché i propri numeri di telefono siano comunque finiti nel leak.
Continua a leggere su Guerre di Rete
Commenta qui sotto e segui le linee guida del sito.