Vai al contenuto
Facebook ha tenuto centinaia di milioni di password in chiaro. Per anni

Facebook ha tenuto centinaia di milioni di password in chiaro. Per anni

Alcune centinaia di milioni di password degli utenti di Facebook sono state archiviate in chiaro, in formato cercabile da parte di oltre ventimila dipendenti dell’azienda, per anni: in alcuni casi fin dal 2012, come segnala l’esperto di sicurezza Brian Krebs.

La falla di sicurezza è stata causata dagli stessi dipendenti di Facebook, che in barba a tutte le buone regole di prudenza hanno scritto delle applicazioni per uso interno che registravano le credenziali degli utenti e le salvavano nei server dell’azienda.

Facebook ha pubblicato un comunicato stampa ammettendo la falla e avvisando che invierà notifiche a “centinaia di milioni di utenti di Facebook Lite, decine di milioni di altri utenti Facebook e decine di migliaia di utenti Instagram”.

Conviene cambiare le proprie password di Facebook e Instagram per sicurezza, anche se non ci sono, al momento, indicazioni che possano far pensare che queste password siano state trafugate o trovate da terzi. Ma non è questo il problema: il problema è che Facebook dimostra ancora una volta di non prestare attenzione alle regole di base della sicurezza informatica.

In un momento in cui Facebook si sta offrendo come intermediario per gli acquisti tramite Instagram, dimostrare di non essere capace di gestire bene una cosa fondamentale come le password non incoraggia certo ad affidarle transazioni che riguardino carte di credito.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Panico da blackout social

Panico da blackout social

Facebook piange e Telegram ride. Per circa 14 ore Facebook è rimasto inaccessibile in buona parte del mondo. È stato il blackout più lungo nella storia di questo social network. Ora tutto è tornato a posto, ma non si sa cosa sia successo.

Facebook dice (BBC) che si è trattato di un “cambiamento di configurazione di server” che ha “innescato una serie di problemi in cascata” che hanno toccato anche WhatsApp e Instagram. Non c’è stato nessun attacco informatico, secondo l’azienda.

Per contro, Telegram, rivale di WhatsApp, ha aggiunto tre milioni di nuovi utenti nel giro di ventiquattro ore, festeggiando pubblicamente questo incremento. Il distacco fra Telegram e WhatsApp resta comunque grande: i 200 milioni di utenti dell’app di messaggistica di Pavel Durov sembrano tanti finché non si considera che WhatsApp ne ha circa un miliardo e mezzo. Tuttavia l’improvviso balzo indica che molti utenti sono prontissimi a cambiare social network e a portare con sé i propri amici, con un probabile effetto valanga.

Anche gli inserzionisti non sono contenti del blackout, perché hanno pagato Facebook per le proprie campagne pubblicitarie ma nessuno le vede. La sospensione del servizio sarebbe costata alle aziende di Zuckerberg circa 90 milioni di dollari di ricavi mancati. La BBC segnala intanto che Facebook ha perso circa 15 milioni di utenti negli Stati Uniti.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Facebook sapeva dei minorenni spendaccioni e ha taciuto

Facebook sapeva dei minorenni spendaccioni e ha taciuto

Ultimo aggiornamento: 2019/02/01 15:05.

Per anni, Facebook ha saputo che nei giochi online del suo social network, come Angry Birds o PetVille, c’erano bambini che spendevano centinaia o migliaia di dollari e spesso si è rifiutata di rimborsare queste spese chiaramente non autorizzate dai genitori.

In un caso esemplare, un quindicenne ha accumulato debiti per 6500 dollari in un paio di settimane, a furia di giocare, e Facebook ha negato il rimborso. I dipendenti dell’azienda di Zuckerberg descrivevano questi giovani come whale: il termine che si usa nei casinò per identificare i giocatori che spendono grandi cifre. I polli da spennare, insomma.

Gillian: Would you refund this whale ticket? User is disputing ALL charges …

Michael: What’s the user’s total/lifetime spend?

Gillian: It’s $6,545 – but card was just added on Sept. 2. They are disputing all of it I believe. That user looks underage as well. Well, maybe not under 13.

Michael: Is the user writing in a parent, or is this user a 13ish year old.

Gillian: It’s a 13ish yr old. Says its 15. Looks a bit younger. She* not its. Lol.

Michael: … I wouldn’t refund

Gillian: Oh that’s fine. Cool. Agreed. Just double checking.

Non solo: Facebook commissionò un‘analisi interna per capire come mai nel 93% dei casi i risarcimenti alle carte di credito dei genitori dei giovani giocatori di Angry Birds erano dovuti al fatto che questi genitori non erano consapevoli che il gioco potesse causare addebiti senza chiedere password o autorizzazioni.

L’analisi fece emergere inoltre il fatto che l’età media dei giocatori di Angry Birds era di cinque anni. Ma Facebook decise di non intervenire, perché qualunque misura per avvisare i giocatori che stavano spendendo soldi veri rischiava di intaccare gli incassi, e anzi chiese agli sviluppatori di giochi di non ostacolare le spese fatte dai minorenni a insaputa dei genitori. In un promemoria interno, Facebook chiamò questa prassi con un nome eloquentissimo: Friendly Fraud, ossia “frode amichevole” oppure, per analogia con il termine friendly fire, “frode da fonte fidata”.

Da allora Facebook ha introdotto maggiori controlli sui pagamenti, ma sembra che per farlo sia stata necessaria l’azione legale collettiva che ha reso pubblici questi comportamenti interni dell’azienda. Resta da vedere se la mentalità aziendale è davvero cambiata.

Fonti: Revealnews, Il Post.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Apple fa il gendarme per la privacy bloccando app di Google e Facebook; come sapere se avete app ficcanaso

Apple fa il gendarme per la privacy bloccando app di Google e Facebook; come sapere se avete app ficcanaso

Fonte: Apple.

Ultimo aggiornamento: 2019/02/01 15:00.

Facebook è stata colta da Apple a usare un trucco per eludere i controlli presenti nell’App Store: per consentire agli utenti di installare sui propri iPhone un’app ficcanaso non approvata da Apple, come ho raccontato qui, l’azienda di Zuckerberg ha usato un sistema denominato Apple Developer Enterprise Program, che consente alle aziende e agli sviluppatori di distribuire e installare app per uso interno senza passare dall’App Store.

Questa tecnica si basa sull’installazione di un profilo di configurazione e di un certificato digitale sui dispositivi degli utenti.

Usare questa tecnica non internamente a un’azienda ma verso gli utenti comuni è una palese violazione delle regole di Apple, e quindi Apple ha temporaneamente sospeso (e poi ripristinato) tutti i certificati di autorizzazione di Facebook.

Anche Google è stata colta a usare un trucchetto analogo per un’app di monitoraggio, Screenwise Meter, che offriva carte regalo in cambio del tracciamento delle attività online dei partecipanti. Apple ha bloccato anche l’app ficcanaso di Google, dimostrando così il proprio potere assoluto sui propri dispositivi.

Se volete controllare se il vostro iPhone, iPad o iPod touch (o quello dei vostri figli minorenni) è coinvolto in trucchetti pettegoli di questo genere, usati anche per installare app a scrocco di provenienza discutibile e potenzialmente pericolosa, seguite le istruzioni di Apple: per prima cosa occorre eliminare l’app ficcanaso. Poi bisogna andare in Impostazioni – Generali. Se non trovate una voce Gestione dispositivo (di solito è appena sotto la voce VPN), siete già a posto.

Se la trovate, cercate la sezione Profile management (o Gestione profilo) oppure Profile & Device Management (Gestione profilo e dispositivo) e toccate il profilo di configurazione dell’app: controllate che non sia richiesto per lavoro (per esempio perché si tratta di un dispositivo aziendale configurato tramite questo profilo) e, se non lo è, eliminatelo. Infine riavviate il vostro dispositivo.

Fonte aggiuntiva: Intego.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Facebook blocca gli strumenti di trasparenza pubblicitaria

Facebook blocca gli strumenti di trasparenza pubblicitaria

Ci sono vari strumenti, come Ad Analysis o Who Targets Me, che consentono di sapere come e perché gli utenti di Facebook vengono presi di mira dai pubblicitari sia per la vendita di prodotti sia per la propaganda politica, ma questi strumenti hanno improvvisamente smesso di funzionare a causa di modifiche apportate da Facebook al proprio software.

Le modifiche hanno un effetto importante sulla trasparenza delle attività di questo social network, che vengono monitorate da organizzazioni esterne come ProPublica, che ha denunciato il comportamento di Facebook, mostrando come le modifiche al codice di Facebook sembrino mirate proprio a impedire l’analisi esterna delle scelte pubblicitarie del social network, che ha spesso rivelato storture e anomalie come la propaganda mirata di origine russa verso gli afroamericani durante le elezioni statunitensi del 2016.

Facebook, dice ProPublica, ha usato anche trucchetti piuttosto bislacchi: per esempio, tutte le pubblicità devono contenere la parola sponsored o sponsorizzato per regolamento, e quindi questi strumenti esterni di analisi cercavano questa parola per raccogliere solo informazioni sui post pubblicitari, ma Facebook ha inserito delle lettere invisibili nell’HTML del sito, spiega ProPublica, notando che alcune di queste modifiche servivano anche ad aggirare gli adblocker, le estensioni usate per bloccare le pubblicità.

L’azienda di Zuckerberg ha giustificato i cambiamenti dichiarando che servono a far rispettare le proprie condizioni d’uso e proteggere le informazioni degli utenti.

Anche se gli strumenti automatici sono stati bloccati, se volete sapere perché siete presi di mira da una certa inserzione pubblicitaria, cliccate sulla freccina in alto a destra nell’inserzione e scegliete la voce Perché visualizzo questa inserzione? Comparirà una spiegazione che vale la pena di leggere. Un esempio:

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Facebook ha pagato gli utenti per svendere la propria privacy. E quella dei loro amici

Facebook ha pagato gli utenti per svendere la propria privacy. E quella dei loro amici

Credit: TechCrunch.

Un’indagine di TechCrunch ha rivelato che Facebook ha pagato alcuni utenti, anche giovanissimi, per installare sui propri dispositivi del software che consentiva all’azienda di monitorare tutta l’attività dell’utente.

Questo software, presentato come una VPN, dava accesso anche ai messaggi privati e alle chat, comprese le foto e i video inviati ad altri, le mail, le ricerche nel Web, i siti visitati e la geolocalizzazione. Inevitabilmente forniva accesso anche alle comunicazioni private delle persone con le quali interagiva chi partecipava a questo monitoraggio.

I partecipanti venivano pagati 20 dollari al mese più altrettanti una tantum per ogni altro utente che riuscivano a far iscrivere al programma, che veniva pubblicizzato su Snapchat e Instagram come uno “studio retribuito di ricerca sui social media”.

Secondo le ricerche della BBC, questi partecipanti davano accesso anche alle comunicazioni delle app che usano la crittografia e alle sessioni protette dei browser, e dovevano promettere di tenere segreta la loro partecipazione. Il consenso parentale necessario per i minorenni era assente o aggirabile e l’app non era nell’App Store ma veniva installata come versione di test per dipendenti, eludendo i controlli di Apple. La versione Android era offerta al di fuori del Play Store.

In altre parole, Facebook pagava anche minorenni per farsi spiare online e, peggio ancora, per farsi mandare di nascosto anche le comunicazioni private extra-Facebook degli utenti che comunicavano con queste cavie.

Facebook si dichiara innocente, ma non appena è emersa la notizia si è affrettata ad annunciare la chiusura dello studio di ricerca per i dispositivi Apple, senza specificare che Apple le aveva revocato il certificato che consentiva l’installazione dell’app; la versione Android risulta ancora attiva.

I dettagli della vicenda sono raccontati da Il Post in italiano oltre che da TechCrunch (a cui si deve la scoperta iniziale), ma la lezione è piuttosto chiara: fidarsi dei social network non ha alcun senso, la loro fame di dati personali non conosce limiti o decenze, e se un’app non è disponibile attraverso i canali standard è sicuramente perché sta facendo qualcosa di losco. Meglio evitare.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Usare Facebook senza farsi schedare, i consigli di F-Secure

Usare Facebook senza farsi schedare, i consigli di F-Secure

Se non potete lasciare Facebook perché su questo social network ci sono persone o situazioni con le quali volete restare in contatto ma volete ridurre al minimo la raccolta di dati personali, potete seguire i consigli pubblicati da Sandra Proske di F-Secure. Li traduco in sintesi qui.

1. Non aspettatevi che le chat di Messenger siano private. Facebook le legge e le analizza automaticamente per profilarvi. Non solo: Facebook permette ad altre aziende di leggerle, e molte app possono leggere, creare e cancellare messaggi al posto vostro.

2. Whatsapp crea un profilo-ombra. Anche se WhatsApp (di proprietà di Facebook) usa la cifratura end-to-end e quindi non può leggere il contenuto dei messaggi, sa con chi li avete scambiati, quanti ne avete scambiati, quanto erano grandi le foto o i video che avete inviato o ricevuto e in che giorno e a che ora lo avete fatto. Cosa ancora più significativa, WhatsApp ha accesso automatico alla vostra rubrica, per cui se usate WhatsApp avete inviato a Facebook la mappa completa dei vostri rapporti sociali. Facebook, spiega Proske, usa queste informazioni per mantenere un profilo-ombra (shadow profile) per voi e per tutti i vostri contatti, e sappiamo che è molto più completo di quello che Facebook permette di scaricare.

3. Se non altro, disattivate la Application Platform, ossia l’integrazione di Facebook con app, giochi e siti Web. Le istruzioni sono qui su Facebook.

4. Riducete i permessi. Togliete a Facebook il permesso di accedere alla fotocamera, alle foto, al microfono e alla geolocalizzazione. Per iOS, queste impostazioni sono in Impostazioni – Tempo di utilizzo – Contenuti e privacy.

5. Mentite. Proske scrive senza troppi giri di parole che Facebook “non ha bisogno di sapere la vostra vera età, il vostro vero indirizzo di casa o il cognome da nubile di vostra madre. Ovviamente questo va contro i termini e le condizioni del sito. E ovviamente non hanno nessun motivo legale per conoscermi così a fondo. Credo sia uno scambio equo: tu mi inganni e io ti ricambio mentendo.”

6. Dedicate un browser separato alle attività social. Facebook ha codici di tracciamento praticamente ovunque in Internet e sembra proprio che ci pedini anche quando siamo fuori da Facebook. Se ci tenete alla privacy, questa misura è molto utile.

7. Presumete che tutto, tranne Signal, sia pubblico. È meglio non usare gli SMS per informazioni sensibili, per via dei profili ombra di WhatsApp. Usate invece Signal.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Il 10-Year Challenge è un complotto? Improbabile. Ma il sospetto la dice lunga

Il 10-Year Challenge è un complotto? Improbabile. Ma il sospetto la dice lunga

Da qualche giorno è scoppiata la mania di pubblicare nei social network (Facebook, Twitter, Instagram) una propria foto attuale accanto a una di dieci anni fa e accompagnarla con l’hashtag #10YearChallenge. Solo su Instagram sono circa tre milioni le immagini con questo hashtag.

Anche se molti si stanno divertendo con questo gioco, altri hanno cominciato a diffondere una tesi di complotto: il 10-Year Challenge consentirebbe a Facebook e Instagram (che è di proprietà di Facebook) di acquisire coppie di foto del volto della stessa persona a una distanza di tempo ben precisa, allo scopo di addestrare meglio i sistemi di riconoscimento facciale dei social network e consentire loro di indovinare come cambia il viso quando si cresce o si invecchia.

C’è chi, come Nicholas Thompson di Wired, ipotizza che il 10-Year Challenge sia stato creato intenzionalmente dai gestori dei social network a questo scopo.

Di prove, però, non ce ne sono e Facebook ha risposto a Thompson smentendo tutto. Forse l’aspetto più interessante è la popolarità di questa tesi, insieme alle reazioni degli utenti alla smentita. La disinvolta fiducia nei confronti di Facebook e in generale della raccolta massiccia di dati personali che ha caratterizzato gli anni del boom dei social network sembra essersi perlomeno incrinata, a furia di episodi come Cambridge Analytica e le tante fughe di dati personali dovute alla scarsa attenzione dei gestori dei social network.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Facebook, mail interne descrivono trucchi per raccogliere dati su SMS e chiamate di nascosto

Facebook, mail interne descrivono trucchi per raccogliere dati su SMS e chiamate di nascosto

Nella scorsa puntata del Disinformatico radiofonico ho segnalato il caso di una lettrice, Maria Elena, che segnalava che Facebook le aveva proposto, fra le persone che poteva conoscere, dei genitori di compagni di scuola di uno dei suoi figli, con i quali non aveva assolutamente scambiato coordinate personali.

Erano già emersi altri casi, come quello di un utente che aveva scaricato i propri dati da Facebook e aveva scoperto che contenevano la cronologia di tutte le sue telefonate. La scoperta aveva spinto Facebook ad ammettere che le app Facebook Lite e Messenger raccoglievano anche la cronologia degli SMS oltre che delle telefonate.

Delle mail interne di Facebook, rese pubbliche di recente da un’inchiesta del Parlamento britannico, hanno rivelato ulteriori dettagli sul modo in cui la società di Mark Zuckerberg tratta e considera la trasparenza e la privacy dei suoi utenti.

Come racconta Gizmodo, nel 2015 i dipendenti di Facebook discutevano internamente se aggiungere o meno la cronologia delle telefonate e degli SMS alla versione Android dell’app. Questo avrebbe consentito di migliorare la funzione “Persone che potresti conoscere” acquisendo molti più dati da correlare, ma per farlo sarebbe stato necessario chiedere esplicitamente il permesso degli utenti, come previsto dalle funzioni di sicurezza e privacy di Android, facendo comparire una grande schermata di avviso.

Uno dei manager di Facebook scrisse che sarebbe stata “una cosa parecchio rischiosa da fare dal punto di vista delle relazioni pubbliche” ma che il “team di crescita” l’avrebbe fatta comunque.

Yul Kwon, all’epoca principale responsabile per la privacy di Facebook, scrisse inoltre che era in corso di test un aggiornamento delle app del social network che avrebbe eluso i controlli di sicurezza di Android e non avrebbe fatto comparire la schermata standard di avviso di Android:

The Growth team is now exploring a path where we only request Read Call Log permission, and hold off on requesting any other permission for now.

Based on their initial testing, it seems this would allow us to upgrade users without subjecting them to an Android permissions dialog at all.

It would still be a breaking change, so users would have to click to upgrade, but no permissions dialog screen.

Il fatto che sia stata anche solo pensata un’elusione del genere, e che il responsabile della privacy dell’azienda non abbia obiettato, la dice molto lunga.

La versione finale delle app di Facebook (Lite e Messenger) presentò solo la schermata che vedete qui sotto, e così per anni milioni di utenti non si accorsero di regalare la cronologia delle telefonate e dei messaggini a Facebook.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Facebook propone gente che hai semplicemente incrociato

Facebook propone gente che hai semplicemente incrociato

Rispondo a una domanda arrivata da una lettrice, Maria Elena, che si chiede se questo post letto su Facebook è credibile:

“Ieri sono stata a scuola ad udienze, per due ore circa sono stata seduta di fronte ad una mamma ed a fianco ad un papà che attendevano le udienze assieme a me, nel mezzo di una ressa incredibile. Abbiamo riso, scherzato e chiacchierato parecchio, ma senza MAI presentarci, d’altronde eravamo SOLO genitori in coda.

STAMATTINA Facebook guarda caso mi presenta i suoi soliti suggerimenti di amicizia e chi mi propone?? LORO!! LORO DIAMINE!!!

Ma…??

Sottolineo che ho la geolocalizzazione disattivata. Giuro che non conoscevo ne i loro nomi ne nulla e non ho MAI aperto Facebook in quel tempo…”

Sì, è perfettamente credibile. Ne avevo citato alcuni casi in questo mio articolo del 2016. Facebook usa ogni sorta di espediente per proporci nuovi “amici” e quindi farci passare più tempo sul social network, e in questo caso è presumibile che riesca a dedurre che siamo in un certo luogo a una certa ora anche a geolocalizzazione spenta perché sa quali Wi-Fi sono visibili ai telefonini degli utenti, anche se gli utenti non si collegano ai Wi-Fi in questione.

Il mio suggerimento per chi trova inaccettabile questo tipo di sorveglianza è semplicemente disinstallare Facebook dal telefonino ed eventualmente decidere di eliminare permanentemente il proprio profilo (le istruzioni sono qui). Del resto, a giudicare dai miei sondaggi informali nelle scuole, Facebook è già ignorato dalla stragrande maggioranza degli studenti delle scuole medie.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.