In questo 1 maggio, 2018, foto d'archivio, Il CEO di Facebook Mark Zuckerberg fa il discorso di apertura all'F8, La conferenza degli sviluppatori di Facebook a San Jose, California Facebook afferma di aver scoperto di recente una violazione della sicurezza che ha colpito quasi 50 milioni di account utente. In un post sul blog, Venerdì, 28 settembre la società afferma che gli hacker hanno sfruttato la sua funzione "Visualizza come", che consente alle persone di vedere come appaiono i loro profili a qualcun altro. Facebook afferma di aver adottato misure per risolvere il problema di sicurezza e di aver allertato le forze dell'ordine. (Foto AP/Marcio Jose Sanchez, File)
Facebook ha segnalato una grave violazione della sicurezza in cui 50 milioni di account utente sono stati accessibili da aggressori sconosciuti.
Gli aggressori hanno ottenuto la capacità di "prendere il controllo" di quegli account utente, Facebook ha detto, rubando le chiavi digitali che l'azienda utilizza per mantenere gli utenti registrati. Potrebbero farlo sfruttando tre distinti bug nel codice di Facebook.
La società ha affermato di aver corretto i bug e di aver disconnesso i 50 milioni di utenti violati, più altri 40 milioni che erano vulnerabili all'attacco, al fine di ripristinare quelle chiavi digitali. Gli utenti non hanno bisogno di cambiare le loro password di Facebook, ha detto.
Facebook ha detto che non sa chi c'era dietro gli attacchi o dove si trovano. In una chiamata con i giornalisti venerdì, Il CEO Mark Zuckerberg, il cui account è stato compromesso, ha affermato che gli aggressori avrebbero avuto la possibilità di visualizzare messaggi privati o postare sull'account di qualcuno, ma non c'è segno che l'abbiano fatto.
"Non sappiamo ancora se qualcuno degli account sia stato effettivamente utilizzato in modo improprio, " ha detto Zuckerberg.
L'hack è l'ultima battuta d'arresto per Facebook durante un anno tumultuoso di problemi di sicurezza e problemi di privacy. Finora, anche se, nessuno di questi problemi ha scosso in modo significativo la fiducia dei 2 miliardi di utenti globali dell'azienda.
Quest'ultimo hack ha coinvolto bug nella funzione "Visualizza come" di Facebook, che consente alle persone di vedere come i loro profili appaiono agli altri. Gli aggressori hanno usato quella vulnerabilità per rubare le chiavi digitali, noti come "token di accesso, " dagli account delle persone i cui profili sono stati cercati utilizzando la funzione "Visualizza come". L'attacco si è poi spostato da un amico di Facebook di un utente a un altro. Il possesso di quei token consentirebbe agli aggressori di controllare quegli account.
Uno dei bug aveva più di un anno e influenzava il modo in cui la funzione "Visualizza come" interagiva con la funzione di caricamento video di Facebook per la pubblicazione di messaggi di "buon compleanno", disse Guy Rosen, Vicepresidente della gestione dei prodotti di Facebook. Ma è stato solo a metà settembre che Facebook ha notato un aumento di attività insolite, e non fino a questa settimana che ha appreso dell'attacco, disse Rosen.
"Non siamo ancora stati in grado di determinare se esistesse un targeting specifico" di account particolari, Rosen ha detto in una chiamata con i giornalisti. "Sembra ampio. E non sappiamo ancora chi c'era dietro questi attacchi e dove potrebbero essere basati".
Né le password né i dati della carta di credito sono stati rubati, disse Rosen. Ha detto che la società ha allertato l'FBI e le autorità di regolamentazione negli Stati Uniti e in Europa.
Jake Williams, un esperto di sicurezza presso Rendition Infosec, si è detto preoccupato che l'hack possa aver colpito applicazioni di terze parti.
Williams ha notato che la funzione "Facebook Login" dell'azienda consente agli utenti di accedere ad altre app e siti Web con le proprie credenziali di Facebook. "Questi token di accesso che sono stati rubati mostrano quando un utente ha effettuato l'accesso a Facebook e potrebbero essere sufficienti per accedere all'account di un utente su un sito di terze parti, " Egli ha detto.
Facebook ha confermato venerdì sera che le app di terze parti, così come la sua app Instagram, potrebbe essere stato colpito.
"La vulnerabilità era su Facebook, ma questi token di accesso hanno permesso a qualcuno di utilizzare l'account come se fosse il titolare del conto stesso, " ha detto Rosen.
La notizia è trapelata all'inizio di quest'anno che una società di analisi dei dati una volta impiegata dalla campagna di Trump, Cambridge Analytica, aveva indebitamente ottenuto l'accesso ai dati personali di milioni di profili utente. Quindi un'indagine del Congresso ha scoperto che agenti dalla Russia e da altri paesi hanno pubblicato falsi annunci politici almeno dal 2016. Ad aprile, Zuckerberg è apparso in un'audizione del Congresso incentrata sulle pratiche sulla privacy di Facebook.
Il bug di Facebook ricorda un attacco molto più grande a Yahoo in cui gli aggressori hanno compromesso 3 miliardi di account, sufficienti per metà dell'intera popolazione mondiale. Nel caso di Yahoo, le informazioni rubate includevano nomi, indirizzi email, numeri di telefono, date di nascita e domande e risposte di sicurezza. È stato tra una serie di hack di Yahoo nel corso di diversi anni.
I pubblici ministeri statunitensi in seguito hanno accusato gli agenti russi di aver utilizzato le informazioni che hanno rubato da Yahoo per spiare i giornalisti russi, Funzionari del governo statunitense e russo e dipendenti di servizi finanziari e altre imprese private.
Nel caso di Facebook, potrebbe essere troppo presto per sapere quanto fossero sofisticati gli aggressori e se fossero collegati a uno stato nazionale, disse Thomas Rid, professore alla Johns Hopkins University. Rid ha detto che potrebbero anche essere spammer o criminali.
"Nulla che abbiamo visto qui è così sofisticato da richiedere un attore statale, Rid ha detto. "Cinquanta milioni di account Facebook casuali non sono interessanti per nessuna agenzia di intelligence".
Ed Mierzwinski, il direttore senior del gruppo di difesa dei consumatori U.S. PIRG, ha detto che la violazione è stata "molto preoccupante".
"È un altro avvertimento che il Congresso non deve emanare alcuna legislazione nazionale sulla sicurezza dei dati o sulla violazione dei dati che indebolisca le attuali leggi statali sulla privacy, pregiudichi i diritti degli Stati di approvare nuove leggi che proteggano meglio i loro consumatori, o nega ai propri avvocati i diritti generali di indagare sulle violazioni o di far rispettare tali leggi, ", ha detto in una nota.
L'analista di Wedbush Michael Pachter ha affermato che "il punto più importante è che abbiamo scoperto da loro, " che significa Facebook, al contrario di un terzo.
"Come utente, Voglio che Facebook protegga in modo proattivo i miei dati e mi faccia sapere quando vengono compromessi, " Egli ha detto.
© 2018 The Associated Press. Tutti i diritti riservati.
