Un'attivista di Avaaz, indossa una maschera dalle sembianze di Mark Zuckerberg, Ceo di Facebook, durante una protesta a Bruxelles, lo scorso dicembre (LaPresse)

Un inferno di dati

Gli hacker rubano ai social, che ora scappano dalle loro responsabilità

Rosita Rijtano

Facebook potrebbe presto finire in tribunale, ma rischiano anche Linkedin e Clubhouse: mai così tante informazioni erano finite online, a disposizione di chiunque. Una fuga che preoccupa non solo per la quantità di persone coinvolte, ma anche per il modo in cui è stata gestita

Sono state settimane terribili per la privacy dei nostri dati, specialmente quelli che consegnamo ai social network. A essere nei guai è soprattutto Facebook, che ora rischia di finire in tribunale su iniziativa del gruppo di difesa dei diritti digitali Digital rights Ireland, cui hanno aderito settemila cittadini europei. Ma il problema riguarda anche LinkedIn e Clubhouse: mai così tante informazioni erano finite online, a disposizione di chiunque. Una fuga che preoccupa non solo per la quantità di persone coinvolte, nel complesso almeno mezzo miliardo, ma anche per il modo in cui è stata gestita dalle piattaforme. 

 

Tutto è iniziato il 3 aprile scorso, quando il ricercatore di sicurezza informatica Alon Gal ha scritto su Twitter che era possibile trovare online, con facilità e gratis, i nomi, le email, i numeri di telefono, i luoghi di residenza e perfino la situazione sentimentale di 533 milioni di profili Facebook di 106 nazioni, tra cui quasi 36 milioni di italiani. Poco dopo, si è scoperto che seppur a pagamento, si trovavano online anche le informazioni di 500 milioni di account LinkedIn, cioè il 67 per cento degli iscritti al social del lavoro. La serie di incidenti ha coinvolto anche l’astro del momento, Clubhouse: la piattaforma basata sui contenuti audio si è lasciata sfilare i dati di 1,5 milioni di persone. 

 

Fatta eccezione per molti numeri di telefono associati ai profili Facebook, i dati trafugati sono pubblici e in apparenza, se presi singolarmente, di poco conto. Non hanno un ritorno immediato, ma il loro valore va pesato “nel lungo periodo e in aggregato”, dice al Foglio Stefano Zanero, docente di Sicurezza informatica del Politecnico di Milano. “Prima era difficile ottenere database organizzati di queste proporzioni, ma sono informazioni che possono essere incrociate tra loro per costruire profili personali dettagliati e usate a fini malevoli”. Miele che attira il vespaio di piccole aziende di telemarketing tanto quanto i criminali informatici, che sfruttano il materiale per i propri attacchi, in particolare, lo “sim swapping” e il “phishing”. Il primo consiste nell’appropriarsi del numero di telefono della vittima e violarne i servizi online. Il secondo nell’invio di email che sembrano provenire da una fonte affidabile, ad esempio la propria banca, e hanno lo scopo di sottrarre al bersaglio dei dati riservati. Tecniche che stanno aumentando, come segnala l’ultimo rapporto Europol.

 

“Non abbiamo colpe” è stata la linea difensiva adottata da tutti e tre i social network. Hanno spiegato di non aver subito alcun “data breach”, cioè una violazione che in base al Regolamento europeo per la protezione dei dati personali li obbligherebbe a rispettare determinate procedure. E hanno attribuito la responsabilità al cosiddetto “scraping”, un metodo sfruttato dalle compagnie a caccia di dati per estrarre e collezionare in modo automatizzato i contenuti del web.

 

 

Come si costruisce un database

Ma questa deresponsabilizzazione non convince. Soprattutto nel caso di Facebook, ora sotto sotto indagine da parte della Commissione per la protezione dei dati irlandese: la fuga di informazioni sarebbe stata consentita da una vulnerabilità del sistema di importazione dei contatti grazie a cui i nuovi utenti riescono a trovare sul social gli amici presenti nella loro rubrica, purché questi ultimi abbiano accettato di essere cercati tramite numero di telefono. Una falla segnalata per almeno tre anni prima di essere sistemata, nel 2019. Ma ciò non ha impedito allo staff di Menlo Park di ignorare la questione e poi minimizzarla, invitando gli iscritti a prestare maggiore attenzione alle notizie che condividono online. Una strategia che sembrerebbe confermata da una email interna inviata per errore al magazine belga Data News, in cui si legge che il social si aspetta più incidenti di questo tipo, perciò è importante ricondurli a un “problema generale del settore” e“normalizzarli”.

 

Guido Scorza, componente del collegio del Garante italiano per la privacy (che ha chiesto informazioni ai tre social), dice al Foglio di essere “deluso”: “Nessuna delle aziende ha ritenuto di dover comunicare qualcosa agli utenti, di propria spontanea volontà. Dopo lo scandalo Cambridge Analytica, che ha svelato come i dati sottratti a Facebook fossero usati a fini di propaganda elettorale, mi sarei aspettato maggiore trasparenza. A prescindere da un obbligo, è una questione di responsabilità etica”.

Di più su questi argomenti: