GDI Foundation, una non-profit con la missione di rendere Internet sempre più sicuro, ha scoperto un database online con milioni di numeri telefonici di utenti Facebook. Si parla di un server esposto con oltre 419 milioni di voci organizzate per aree geografiche, di cui 133 milioni legati a utenti Facebook statunitensi, 18 milioni del Regno Unito e 50 milioni del Vietnam.
Sanyam Jain, un ricercatore specializzato in sicurezza informatica e membro della GDI Foundation, ha tentato di risalire al proprietario ma anche coinvolgendo TechCrunch non è stato possibile. Anzi. Dopo aver contattato il web host il database è stato reso inaccessibile.
In pratica il server non era protetto da password e si poteva accedere senza problemi a un lunghissimo elenco di ID Facebook con numero telefonico correlato – alcuni indicavano anche nome, posizione dell'utente e sesso. Una bizzarria considerato che da più di un anno, a seguito dello scandalo Cambridge Analytica, Facebook ha reso più rigorosa la gestione di questi dati.
Il rischio a questo punto è che molti di questi set possano essere stati impiegati per chiamate spam o azioni illegali.
Facebook ha confermato ufficialmente il problema e anche di aver avviato un'indagine per comprendere responsabilità e tempistiche. Un portavoce dell'azienda ha però sottolineato che il numero effettivo di utenti le cui informazioni sono state esposte era di circa 210 milioni, poiché vi erano molte voci duplicate.
Si suppone che il database sia stato realizzato sfruttando lo stesso strumento che Facebook ha disabilitato nell'aprile 2018 a seguito dello scandalo Cambridge Analytica. Ai tempi com'è risaputo la gestione poco rigorosa dei dati da parte di Facebook aveva consentito alla nota società di consulenza politica di ottenere informazioni personali da decine di milioni di profili. Particolarmente debole il sistema che permetteva di cercare gli utenti in base al numero di telefono.
"Questo set di dati è vecchio e sembra che le informazioni siano state ottenute prima delle modifiche che l'anno scorso abbiamo introdotto per disabilitare la possibilità degli utenti di trovare altri utilizzando i loro numeri di telefono", ha confermato un portavoce dell'azienda a The Guardian. "Il set di dati è stato rimosso e non abbiamo visto prove che gli account di Facebook siano stati compromessi".