La violazione della sicurezza rivelata il 28 settembre da Facebook ha colpito decine di milioni di account sul social network, che vanta oltre 2,2 miliardi di utenti mensili.

Di mercoledì, l'autorità irlandese per i dati ha affermato che sta avviando un'indagine formale per stabilire se il più grande social network del mondo sia conforme alle nuove severe normative sulla privacy dell'UE.

- Cosa è successo?

Gli hacker hanno approfittato di una "interazione complessa" tra tre bug del software, che richiedeva un certo grado di raffinatezza.

La vulnerabilità è stata creata da una modifica a una funzione di caricamento video nel luglio 2017.

Coinvolgeva un difetto in una funzione "Vedi come" che mostrava a Facebook come appaiono i loro profili alle altre persone sul social network.

Utilizzando le chiavi digitali generate dalla funzione, denominati "token di accesso, " che consente agli utenti di rimanere connessi ai propri account senza dover inserire nuovamente le password.

Gli hacker sono riusciti a rubare copie delle chiavi digitali, dando loro lo stesso accesso e controllo degli account dei loro legittimi proprietari.

Il 16 settembre Facebook ha notato un picco di attività che lo ha spinto a indagare.

Il 25 settembre, Gli ingegneri di Facebook hanno determinato che gli hacker avevano lanciato un attacco sofisticato sfruttando la vulnerabilità. Una correzione è stata applicata due giorni dopo e i token rubati sono stati resi inutili.

Facebook non ha rivelato quando gli hacker hanno sfruttato per la prima volta il difetto, dicendo che l'indagine era in anticipo.

- Quali dati sono stati trapelati?

Gli hacker di informazioni sembravano interessati a nomi inclusi, generi, e città d'origine, ma non era chiaro per quali scopi, i dirigenti hanno detto in un briefing telefonico.

Facebook ha detto che stava ancora cercando di capire cosa, se qualcosa, gli hacker hanno violato gli account. All'inizio non sembrava che messaggi o post fossero stati manomessi, e non c'era accesso a informazioni bancarie o password, secondo il social network.

Dato che le chiavi digitali hanno aperto le porte di Facebook agli hacker, avrebbero avuto la possibilità di accedere ad applicazioni di terze parti collegate agli account dei social network.

Sarebbero stati in grado di entrare in account collegati tra cui Messenger o Instagram, entrambi di proprietà di Facebook, ma non nel servizio WhatsApp del social network.

L'analisi dei registri delle applicazioni di terze parti non ha rivelato alcun segno che fossero stati intromessi dagli hacker, Facebook ha detto il 2 ottobre.

- Chi dovrebbe preoccuparsi?

Facebook ha affermato che "fino a 50 milioni di account" sono stati direttamente colpiti, il che significa che gli hacker hanno rubato le chiavi digitali.

Secondo la Commissione per la protezione dei dati in Irlanda, cinque milioni o meno di utenti europei erano tra le persone colpite.

Altri 40 milioni di account che hanno utilizzato la funzione "Visualizza come" hanno ripristinato i token anche se non sembrava che fossero stati presi di mira dagli hacker.

- Misure adottate da Facebook?

Facebook ha dichiarato di aver sigillato la violazione alla fine del 27 settembre in California, dove ha sede, e ha allertato le autorità preposte all'applicazione della legge statunitensi e le autorità di regolamentazione in Irlanda.

Facebook ha invalidato i "token di accesso" in questione nella violazione, richiedere alle persone di accedere di nuovo con le password. Il social network ha informato le persone coinvolte pubblicando messaggi in cima ai feed di notizie.

- Qual è il rischio per Facebook?

I rischi per Facebook dipendono da come ha rispettato varie leggi e regolamenti, compreso il nuovo regolamento generale sulla protezione dei dati in Europa.

Le domande che probabilmente verranno poste includeranno se Facebook è stato abbastanza veloce nel notificare agli utenti la violazione e quanto bene ha protetto gli account.

La protezione dei dati delle persone è di competenza della Federal Trade Commission negli Stati Uniti, ma gli stati potrebbero anche essere interessati ad assicurarsi che le leggi locali sulla privacy o sulla protezione dei dati non vengano violate.

In Europa, la violazione di Facebook e il modo in cui è stata gestita sarebbero esaminati attraverso la lente del GDPR, che ha rafforzato la protezione dei dati personali.

Le aziende possono ora essere multate con una percentuale delle entrate annuali se infrangono le regole del GDPR. Sembra che Facebook abbia rispettato una scadenza di 72 ore per quanto riguarda la divulgazione pubblica di un hack, che potrebbe risparmiargli una multa di oltre un miliardo di dollari.

© 2018 AFP