La raccolta di dati trafugati include numeri di telefono, indirizzi e-mail, città, nomi completi e date di nascita degli utenti.
di Charlotte Jee
L’esperto di sicurezza Alon Gal ha scoperto che i dati personali di 533 milioni di utenti di Facebook in più di 106 paesi sono stati trovati gratuitamente disponibili online lo scorso fine settimana. Inizialmente, l’azienda ha affermato che la fuga di dati era stata precedentemente segnalata nel 2019 e che aveva corretto la vulnerabilità che l’aveva causata in agosto.
Ma in realtà, sembra che Facebook non abbia rivelato correttamente la violazione in quel momento. L’azienda lo ha infine riconosciuto martedì 6 aprile, in un post sul blog del direttore della gestione del prodotto Mike Clark, secondo cui Facebook ritiene che i dati siano stati “strappati” dai profili delle persone da “attori malintenzionati” utilizzando il suo strumento di importazione dei contatti, che utilizza gli elenchi di contatti delle persone per aiutarli a trovare amici su Facebook.
Non è chiaro esattamente quando i dati sono stati prelevati, ma Facebook dice che era “prima del settembre del 2019”. Un fattore complicante è che è molto comune per i criminali informatici combinare diversi set di dati e venderli in blocchi diversi, e Facebook ha subito molte violazioni di datinel corso degli anni (il più famoso è lo scandalo di Cambridge Analytica).
La tempistica è importante perché il regolamento generale sulla protezione dei dati è entrato in vigore nei paesi dell’Unione europea nel maggio 2018. Se questa violazione si fosse verificata in seguito, Facebook potrebbe essere responsabile di sanzioni e azioni di contrasto perché non ha divulgato la violazione alle autorità di regolamentazione competenti entro 72 ore, come prevede il GDPR.
La Data Protection commission irlandese sta indagando sulla violazione. Negli Stati Uniti, Facebook ha firmato un accordo due anni fa che gli ha conferito l’immunità dalle multe della Federal Trade Commission per violazioni prima del giugno 2019, quindi se i dati sono stati rubati dopo, l’azienda potrebbe essere esposta ad azioni legali.
Sebbene le password non siano trapelate, i truffatori potrebbero comunque utilizzare le informazioni per e-mail di spam o robocall. Se si vuole vedere se si è a rischio, si vada su haveibeenpwned.com per controllare se il proprio indirizzo e-mail o numero di telefono è stato violato.
