Poco più di due settimane fa avevano fatto parecchio clamore due notizie riguardanti Facebook, soprattutto quella che parlava di una grave falla di sicurezza appena corretta dagli stessi sviluppatori del social network. Zuckerberg e soci avevano promesso di approfondire il discorso in un momento successivo con più dettagli alla mano. Così è stato nelle scorse ore, con un nuovo post sul blog ufficiale che inizia a fare luce sulla vicenda.

La vulnerabilità che ha portato al recente caso aveva le sue origini alla metà dello scorso anno, quando avvennero dei cambiamenti di codice principalmente legati all’upload di video ma con impatti pure per le caratteristiche di “Visualizza come”, la funzionalità che permette di vedere come apparirebbe il proprio profilo agli occhi di un altro contatto, permettendo quindi di decidere cosa visualizzare e a chi. Il bug rinvenuto permetteva di rubare l’account degli utenti che negli ultimi mesi avevano utilizzato “Visualizza come”, ottenendone i token d’accesso. Il 28 settembre, in seguito alla divulgazione della falla, Facebook ha revocato i token di oltre 90 milioni di account, che ha comportato il reinserimento manuale delle proprie credenziali precedentemente salvati nell’app Facebook. A tale proposito, una piccola buona notizia è costituita dal fatto che l’entità delle utenze effettivamente coinvolte risulta inferiore alle prime stime, attestandosi a “soli” 30 milioni. Ovviamente le virgolette sono necessarie, restando comunque una cifra molto importante.

Com’è stata scoperta la vulnerabilità? Di fatto si è trattato quasi di un caso, dato che tutte le indagini sono partite da un picco d’attività di rete riscontrato a partire dal 14 settembre. In tale giornata sarebbe infatti partito l’attacco vero e proprio alla piattaforma, dopo che i malintenzionati avevano già preso il controllo di vari profili da utilizzare come base. Attraverso strumenti automatizzati, attraverso le liste contatti della base formatasi è stata condotta una prima ondata che ha coinvolto 400.000 utenti. Tra le informazioni resesi a disposizione degli attaccanti sfruttando “Visualizza come” vi erano non solo gli elenchi degli amici ma pure la timeline, i gruppi a cui si era iscritti e i nomi dei contatti con cui vi erano state conversazioni su Messenger.

Una volta ottenuto un bacino di vittime più ampio, si è passati all’escalation vera e propria, ottenendo i token d’accesso per 30 milioni di profili. In merito ai dati privati effettivamente trapelati da questi, Facebook ha tenuto in tal senso ad effettuare la distinzione in tre sottogruppi. Nel caso di quello leggermente più numeroso, 15 milioni, a fuoriuscire sono stati nome e forme di contatto come indirizzo email o numero di cellulare; nel secondo sottogruppo, 14 milioni, anche molti altri dettagli erano alla mercé di attenzioni indesiderate, tra cui sesso, data di nascita, orientamento sessuale, religioso, politico, stato della relazione ed altro ancora. Il terzo sottogruppo, infine, costituito da un milione di profili è stato relativamente il più fortunato dato che i criminali non hanno avuto accesso ad alcuna informazione privata.

Il 25 settembre, una volta individuato il modus operandi dell’attacco nonché la falla responsabile, Facebook ha avviato la predisposizione dei correttivi, applicati qualche giorno dopo come già noto. Le investigazioni sono ben lungi dall’essersi concluse e ora coinvolgono pure l’FBI nonché altri enti internazionali. Ne sentiremo dunque parlare ancora. Intanto, in aggiunta alle misure già adoperate, Facebook informerà più dettagliatamente i profili impattati con messaggi specifici in base a quantità e tipologia di dati fuoriusciti. Tutte le altre app del gruppo, come Instagram e WhatsApp, non sono state oggetto di problemi analoghi.