Categoria: Facebook | Sabato 08 Giugno 2019,

Un altro giorno, un altro annuncio di Facebook che non è riuscito a proteggere le vostre informazioni personali. Sei stato uno dei 50 milioni (e probabilmente molto di più, visto lo stile di divulgazione graduata dell'azienda) di utenti i cui account sono stati completamente esposti da un errore di codifica in gioco per più di un anno? In caso contrario, non preoccupatevi: il vostro turno sarà annunciato con una email dal soggetto "the safety of your personal information" da parte di Facebook. In quanto facebook si è dimostrato incapace di mantenere i suoi utenti al sicuro.

Facebook ha dimostrato più e più volte che dà priorità alla propria agenda di prodotti rispetto alla sicurezza e alla privacy dei suoi utenti. E anche se non lo ha fatto, la natura e le dimensioni delle sue operazioni rendono quasi impossibile evitare grandi violazioni di dati che espongono dati altamente personali. Da un lato, la rete è cresciuta a tal punto che la sua superficie è impossibile da proteggere completamente. Questo è stato certamente dimostrato venerdì, quando si è scoperto che il lancio di una funzione ha permesso agli hacker di accedere essenzialmente come milioni di utenti e fare chissà cosa. Per più di un anno. Questa violazione non era esattamente il peggiore dei casi, ma era vicina. Per Facebook non sarebbe apparso che un account si comportasse in modo strano - l'attività dell'hacker sarebbe stata esattamente come la normale attività dell'utente. Non ti sarebbe stato notificato tramite l'autenticazione a due fattori, dato che sarebbe stato un piggybacking su un login esistente. Installare alcune applicazioni? Modificare alcune impostazioni di sicurezza? Esportare i tuoi dati personali? Tutto ciò che un hacker avrebbe potuto fare, e potrebbe benissimo averlo fatto.

Questo è successo perché Facebook è così grande e complicato che anche i migliori ingegneri del software del mondo, molti dei quali lavorano lì, non potrebbero ragionevolmente progettare e codificare abbastanza bene per evitare conseguenze impreviste come i bug in questione. Mi rendo conto che suona un po' ondulato a mano, e non intendo semplicemente che "la tecnologia è dura". Voglio dire che realisticamente parlando, Facebook ha troppe parti in movimento per i semplici esseri umani che lo gestiscono per farlo infallibilmente. E' la prova della loro esperienza che così poche violazioni si sono verificate; quelle più grandi come Cambridge Analytica erano errori di giudizio, non di codice. Un fallimento non solo è inevitabile, ma è fortemente incentivato nella comunità degli hacker. Facebook è di gran lunga la più grande e preziosa raccolta di dati personali della storia. Questo lo rende un bersaglio naturale, e anche se è ben lungi dall'essere un bersaglio facile, questi non sono ragazzi script che cercano di trovare script sciatta nel loro tempo libero. Lo stesso Facebook ha detto che i bug scoperti venerdì non sono semplici; è stato un processo coordinato e sofisticato per metterli insieme e produrre la vulnerabilità. Le persone che lo hanno fatto erano esperti, e sembra probabile che abbiano raccolto enormi ricompense per il loro lavoro. Anche le conseguenze del fallimento sono enormi. Tutte le uova sono nello stesso cestino. Un singolo problema come questo potrebbe esporre tutti i dati che metti sulla piattaforma, e potenzialmente anche tutto quello che i tuoi amici rendono visibile a te. Non solo questo, ma anche un piccolo errore, una combinazione altamente specifica di piccoli difetti nel codice, influenzerà il numero astronomico di persone.

Naturalmente, un po' di social engineering o un sito web mal configurato altrove potrebbe ottenere a qualcuno anche il tuo login e la tua password. Questo non sarebbe un errore di Facebook, esattamente, ma è un semplice fatto che a causa del modo in cui Facebook è stato progettato - un repository centralizzato di tutti i dati personali che può ottenere dai suoi utenti - un piccolo errore potrebbe portare a una perdita totale di privacy. Non sto dicendo che altre piattaforme sociali potrebbero fare molto meglio. Sto dicendo che questa è solo un'altra situazione in cui Facebook non ha modo di tenervi al sicuro. E se i tuoi dati non vengono presi, Facebook troverà un modo per darli via. Perché è l'unica cosa di valore che hanno, l'unica cosa per cui chiunque pagherà. Lo scandalo di Cambridge Analytica, pur essendo il più visibile, è stato solo una delle centinaia di operazioni che probabilmente hanno fatto leva su controlli di accesso lassisti in enormi set di dati raschiato con l'autorizzazione implicita di Facebook. Il loro compito era quello di tenere quei dati al sicuro, e lo hanno dato a chiunque ne avesse fatto richiesta. Vale la pena di notare che non solo basta un solo errore lungo la linea per esporre tutti i vostri dati, ma i fallimenti oltre il primo sono in un certo senso ridondanti. Tutte le informazioni personali che hai messo online non possono essere magicamente risucchiate. In una situazione in cui, ad esempio, la tua carta di credito è stata scremata e duplicata, il rischio di abuso è reale, ma finisce non appena ottieni una nuova carta. Per i dati personali, una volta che sono là fuori, è tutto. La tua privacy è irreversibilmente danneggiata. Facebook non può cambiare questa situazione. Beh, non è proprio così. Potrebbe, per esempio, sandbox tutti i dati più vecchi di tre mesi e richiedere una verifica per accedervi. Questo limiterebbe notevolmente i danni da violazione. Potrebbe anche limitare i suoi profili pubblicitari ai dati di quel periodo, quindi non sta costruendo una sorta di profilo ombra basato sull'analisi di anni di dati. Si potrebbe anche optare per non leggere tutto quello che scrivi e invece ti permettono di auto-riportare le categorie per la pubblicità.