Facebook "si è persa" 146 gigabyte di dati contenenti più di 540 milioni di commenti, account, Mi Piace e altre attività degli utenti. Altro che "Houston, we've had a problem", come disse l'astronauta Jimm Lovell della problematica missione Apollo 13; qui siamo a "Menlo Park, we have a problem". Al numero 1 di Hacker Way della piccola cittadina californiana, dove c'è il quartier generale del più noto social network del mondo, è esplosa un'altra grana.
Il team di UpGuard Cyber Risk ha scoperto che due dataset di app di Facebook sviluppati da terze parti sono rimasti esposti online su server Amazon S3, configurati per il download pubblico. Uno fa riferimento alla società di mediazione culturale Mexico Colectiva – ed è quello più preoccupante perché è di appunto 146 gigabyte; l'altro riguarda i backup di 22.000 utenti, password, like, amici, musica, film, libri e altri contenuti dell'app del social network "At the pool". Quest'ultima però appare meno drammatico poiché il progetto di startup correlato si è chiuso nel 2014 e il sito non è più raggiungibile.
Il dettaglio più inquietante è che malgrado le recenti rassicurazioni di Facebook nei dataset sono presenti molti dati del social network legati agli interessi degli utenti, a dimostrazione che gli sviluppatori nel tempo hanno potuto avvantaggiarsene notevolmente.
"I dati sugli utenti di Facebook sono stati diffusi ben oltre i limiti di ciò che oggi può controllare Facebook", spiegano gli esperti di UpGuard Cyber Risk. "Combina la moltitudine dei dati personali con tecnologie di archiviazione spesso mal configurate per l'accesso pubblico e il risultato è una lunga sequenza di dati di utenti di Facebook che continuano a emergere online".
Come se non bastasse l'azienda è stata correttamente informata il 10 gennaio del 2019 e il 14 gennaio 2019, ma non è stata fornita risposta. Però interrogando Amazon Web Services il 28 gennaio 2019 si è avuta conferma che Facebook è stata aggiornata dei fatti. Solo il 3 aprile del 2019, grazie a un'indagine di Bloomberg, Facebook ha ammesso di aver risolto il problema dell'esposizione di un bucket di archiviazione AWS S3 chiamato "cc-datalake". Un'altra svista che sembra fari il pari con quella del bug relativo al sistema di archiviazione delle password emerso a marzo oppure alla bizzarra prassi - già risolta - di domandare le password delle mail ai nuovi utenti.
Secondo UpGuard Cyber Risk questa vicenda evidenzia ancora una volta tutti i problemi generati dalla raccolta di informazioni di massa: "I dati non scompaiono naturalmente e una posizione di archiviazione abbandonata può o non può ricevere l'attenzione richiesta". Inoltre si pone due questioni. La prima è che Facebook "ha facilitato la raccolta di dati sulle persone e il loro trasferimento a terzi, che sono diventati responsabili della sua sicurezza". La seconda è che si sta parlando di una massa di dati così vasta ed eterogena che una volta condivisa con gli sviluppatori di app è difficile da gestire.
Già, ma sebbene il problema sia complesso secondo la senatrice Elizabeth Warren (Dem) è giunto il momento che i colossi del mercato digitali si accollino ogni responsabilità in caso di furti di dati o leak. Ieri ha presentato una proposta di legge che fa riferimento a responsabilità penali per le violazioni dei dati personali con sanzioni che potrebbero considerare anche il carcere.
"Quando i proprietari di piccole imprese imbrogliano i loro clienti, vanno in prigione", ha sottolineato. "Ma quando i dirigenti di grandi aziende supervisionano enormi frodi che colpiscono decine di migliaia di persone, spesso vanno via con buonuscite multimilionarie".
"Se i massimi dirigenti sapessero che rischiano le manette per non aver ragionevolmente sorvegliato le compagnie che gestiscono, avrebbero un reale incentivo a monitorare meglio le loro operazioni e ad eliminare ogni illecito prima che sfugga di mano".