Quello attuale non sembra essere un momento particolarmente felice per Facebook che, già sconfessata dal Consiglio di Stato italiano a proposito del suo approccio poco trasparente, secondo il quale l’uso della piattaforma in realtà si pagherebbe con i dati degli utenti (sfruttati a fini commerciali a scopo di profilazione), è finita al centro di un redivivo scandalo in tema di privacy, con l’esposizione degli account di circa 533 milioni di utenti.
La security house Hudson Rock, co-fondata dal CTO Alon Gal, ha scoperto la presenza, nei meandri oscuri del dark web, in forma gratuita, di un archivio di 533 milioni di account di Facebook, violati a suo tempo nel 2019 e comprensivo persino dei dati del CEO del social, Mark Zuckerberg.
Il database, sfruttato per ben 2 anni, durante i quali è stato messo in vendita a cifre progressivamente inferiori, sino alla totale gratuità, contempla dati sensibili che variano a seconda dei livelli di privacy dell’account e che, quindi, oltre alla password, al nome completo, alla casella di posta elettronica, ai tracking degli spostamenti, all’ID Facebook, al numero telefonico usato per il recupero della password, possono includere anche la lista degli amici, l’indicazione del posto di lavoro, e lo status civile.
La sequenza dei paesi colpiti dal data breach in questione è davvero impressionante, posto che il database è suddiviso in 106 file, uno dedicato ad ogni nazione, con le più compite che risultano essere gli USA, con 32 milioni di users, il Regno Unito, con 11 milioni, l’Australia, con 7.3 milioni, l’India con 6 milioni. Addirittura, sembra che in Italia il numero delle persone esposte sia pari a pressappoco 32.5 milioni, circa il 50% della popolazione attuale, anche se “solo” 2.5 milioni di account sembrano essere comprensivi anche della mail.
Facebook, nel ribadire d’aver già riferito della problematica nel 2019, quando ha sanato la falla, non ha aggiunto numi sui nuovi provvedimenti da mettere in campo, con probabili notifiche nelle quali si avviseranno gli utenti in modo che possano cambiare la password (scegliendone una senza parole comuni o riferimenti alla propria identità) e attivare (oltre alla gestione di un password manager) l’autenticazione a due fattori, ovunque abbiano usato la mail inclusa nell’account. Nel frattempo, per scoprire se quest’ultima sia stata coinvolta nella fuoriuscita di dati in oggetto, e quindi esposta a pericoli di phishing, SIM swapping, smishing, etc, è possibile far riferimento al sito haveibeenpwned.com che, come già fatto con altri episodi simili in passato, ha indicizzato anche il database di cui sopra.