skip to main | skip to sidebar
29 commenti

Facebook, oltre 100M di profili in un file da scaricare

Dettagli di oltre cento milioni di utenti di Facebook pubblicati sul P2P. Panico? Solo un pochino


Questo articolo vi arriva grazie alle gentili donazioni di "yupswing" e "ssalvato".

Il ricercatore di sicurezza canadese Ron Bowes della Skull Security ha reso pubblicamente scaricabili dal circuito peer-to-peer Bittorrent un file da 2,8 gigabyte e 170 milioni di record contenente i dettagli di oltre cento milioni di profili di utenti Facebook. Il file è scaricabile per esempio da The Pirate Bay qui nei paesi nei quali il sito è accessibile.

La notizia ha comprensibilmente generato una certa agitazione (e molta pubblicità per il ricercatore e la sua società), ma i dati pubblicati nel file erano già pubblicamente accessibili per scelta degli utenti o per impostazione predefinita di Facebook. Bowes non ha violato la privacy di nessuno: ha semplicemente compilato quello che chiunque può consultare.

I dati raccolti nel file scaricabile sono l'URL di ogni profilo utente cercabile, il nome dell'utente e il suo identificativo univoco. Tutte informazioni presenti nella Directory di Facebook, che è pubblica. Il file scaricabile non include le password degli utenti.

Niente panico, allora? Non proprio. La pubblicazione di questo enorme archivio (pari a un quinto di tutti gli utenti di Facebook) significa che un utente che dovesse decidere di rendere privato e non cercabile il proprio profilo su Facebook, cambiando le proprie impostazioni di privacy, resterà comunque pubblicamente catalogato (e quindi cercabile) nell'archivio. Non solo: secondo Bowes, se un utente cercabile ha degli amici che non sono cercabili, quegli amici diventano cercabili, che lo vogliano o no.

Inoltre una massa di dati così vasta, compilata in forma digitale, rende possibili analisi altrimenti impensabili su archivi più piccoli. In un'intervista alla BBC, Bowes ha spiegato la questione così: "Con i media cartacei tradizionali, non era possibile compilare 170 milioni di record in un formato cercabile e distribuirlo, ma ora possiamo farlo.. avere il nome di una persona non vuol dire nulla, avere il nome di cento persone non vuol dire nulla; non è statisticamente significativo. Ma quando si inizia a salire a 170 milioni, emergono dati statistici che non abbiamo mai visto prima".

È proprio per questo che Bowes ha raccolto così tanti dati: per analizzarli e determinare per esempio quali sono, a livello mondiale, i nomi utente più diffusi. Un'informazione molto preziosa per chi si occupa di sicurezza informatica e deve difendersi dagli attacchi basati appunto sui tentativi che sfruttano i nomi e le password più comuni. Bowes, infatti, lavora al progetto Ncrack, uno strumento open source che permette di saggiare la resistenza di un sistema informatico agli attacchi basati su login indovinati per forza bruta (a furia di tentativi). Se siete curiosi di sapere quali sono questi nomi, l'elenco è qui su Skullsecurity e nella cache di Google.

Quello che sorprende è che questo genere di raccolta di dati sia stato così facile e non sia stato bloccato da Facebook. Eppure in altri casi analoghi il social network in blu era intervenuto: nel 2008 il giornalista Robert Scoble fu bandito da Facebook per aver usato un servizio automatico, Plaxo, per compilare le informazioni di contatto dei suoi amici su Facebook.

L'episodio, insomma, non va visto come una violazione di Facebook, ma come un'occasione per portare all'attenzione degli utenti il fatto che quando si pubblica un dato personale su Internet se ne perde definitivamente il controllo, checché ne dicano le garanzie di privacy offerte dai social network.

Fonti: Punto Informatico, Webnews.it, Ars Technica, Guardian, BBC.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (29)
Mi viene una curiosa domanda...

Come mai la diffidenza verso Internet che si respirava agli inizi degli anni '90 si è trasformata in questa incomprensibile disinvoltura?

Chi rimane scottato da queste cose sembra proprio incredulo e perplesso, forse è più intelligente un atteggiamento di diffidenza?
Carina bananna106 :D
Piccolo errore: per prtare all'attenzione
non funziona il link a pirate bay
non funziona il link a pirate bay

Funziona. Basta saperlo leggere.
@marco white

Pirate bay è bloccato in Italia
Per i curiosi/interessati, lo stesso torrent c'è anche su monova.org. Fate una ricerchina :) Io l'ho scaricato da lì e funziona.

@puffolottiaccident
"Come mai la diffidenza verso Internet che si respirava agli inizi degli anni '90 si è trasformata in questa incomprensibile disinvoltura?"

Perché, aimè, queste grosse company hanno degli ottimi designer pagati a tempo pieno per farti sembrare famigliare/sicuro anche ciò che ha potenziali implicazioni per la tua privacy. E la gente, si sà, non ama scaldare troppo i suoi neuroni...
@ A.L. Marco White
http://anonymouse.org/cgi-bin/anon-www.cgi/http://thepiratebay.org/torrent/5722635/Facebook_directory_-_personal_details_for_100_million_users
@frapox

Deve essere come dici. D'altra parte siamo testimoni di cambiamenti che non hanno precedenti nella storia, quindi neanche possiamo dire se un fenomeno di questo tipo è ordinario o straordinario.

Io penso che una componente della disinvoltura sia la consapevolezza (errata o corretta a seconda dei casi) che i danni sono per lo più emotivi e a breve termine.

La classica biondona alta un metro e ottanta ti chiede una foto nudo, la mandi e scopri che era il tuo vicino di tornio che ti ha fatto uno scherzo, vorresti morire, ma la verità è che quando ti riprendi dallo shock hai lo stesso numero di dita che avevi prima, non rischi realmente lo smembramento o la morte, ecc. ecc.

questo squilibrio fra percezione del possibile danno morale e certezza che non ci sarà danno fisico suppongo allenti le normali difese dell' individuo.

Deve essere su un principio similare unito ad un "timore della perdita" che quelli che si fanno mandare soldi dagli interlocutori di chat prosperano.
@puffolottiaccident

Beh, sicuramente ci sono più fattori psicologici/sociologici in gioco. Secondo me comunque prevale l'inconsapevolezza del danno che può provocare l'uso sconsiderato dei social network (e del web 2.0 in generale). E questa, a sua volta, può essere causata dalla distorsione della giusta percezione della realtà provocata dal mezzo utilizzato (computer).
Apparire... gira tutto attorno alla voglia di apparire, i famosi 5 minuti di celebrità.

L'apparire diventa fondamentale quando l'essere è inconsistente.
un utente che dovesse decidere di rendere privato e non cercabile il proprio profilo su Facebook, cambiando le proprie impostazioni di privacy, resterà comunque pubblicamente catalogato (e quindi cercabile) nell'archivio.

E' vero, ma come tu stesso ribadisci alla fine dell'articolo


quando si pubblica un dato personale su Internet se ne perde definitivamente il controllo, checché ne dicano le garanzie di privacy offerte dai social network.


Un altro motivo per rendere obbligatoria un'educazione all'uso della rete...oppure rendere obbligatoria la clausola del gatto Sitwoy (fermo restando che comunque deve essere punito chi utilizza in modo fraudolento questi dati)

@puffolottiaccident
Come mai la diffidenza verso Internet che si respirava agli inizi degli anni '90 si è trasformata in questa incomprensibile disinvoltura?

Non voglio fare demagogia e dare la colpa ai reality (che per me sono solo la punta dell'iceberg), ma il fatto è che tra i cambiamenti della società degli ultimi anni, vi è anche quello della concezione della privacy.
Un tempo alcuni comportamenti, assolutamente normali, venivano mantenuti nella sfera privata; oggi sono stati sdoganati e quindi non ci si fa problemi nel mostrarli a tutti.

E lo stesso concetto di ciò che si intende per "fama" ha avuto una svolta improvvisa. Una volta un individuo diventava famoso come riconoscimento delle proprie azioni ed era un merito che spettava a poche persone; basti pensare che anche nel cinema, il concetto di 'star' è nato molto tempo dopo, all'inizio gli attori erano praticamente anonimi.

Oggi diventare famoso è estremamente semplice, più di quanto potesse prevedere Andy Warhol; questo però non è più un riconoscimento di un comportamento particolarmente rilevante (positivo o negativo che sia), ma solo la dimostrazione che tante persone ti hanno visto e sono in grado di riconoscerti.
Pensate alle due 'coatte' intervistate da Skytg24: oggi sono famose (anche se lo rimarranno per poco), eppure non hanno fatto niente di ecclatante, se non essere spontanee e genuine.

Purtroppo però gran parte della società non ha ancora capito questo cambiamento e pensa ancora che la notorietà sia un traguardo o un riconoscimento.
The Pirate Bay e' effettivamente bloccato dalla maggior parte dei provider in Italia (ma, per esempio, e' accessibile dalla rete GARR), evidentemente in Svizzera no :)
Nel merito del post: se alla questione fosse applicabile p.es. il diritto italiano, avrei dei dubbi sulla liceita' di avere compilato questo mega-elenco di dati e di averlo poi inserito nel circuito p2p. Secondo la nostra legge dovrebbe configurarsi come "trattamento di dati personali" per cui dovrebbe quanto meno essere soggetto all'obbligo di informativa a tutti gli interessati, con tanto di indicazioni delle modalita' per ottenere la cancellazione dei propri dati. Cosa non piu' fattibile visto che ormai l'archivione e' sul p2p. Interessante problema giuridico.
Beh Paolo... Dato che sei il primo a insegnarci i trucchi per congelare una pagina web (ultimamente con l'impiego di strumenti ad hoc) il fatto che non si abbiano garanzie che i dati personali pubblicati una volta non possano essere più "revocati" non deve stupire.
Il vero problema semmai è legato a chi non è iscritto a facebook, ma viene taggato nelle foto e quindi trovato...

Chi si iscrive di fatto accetta che il suo dato venga pubblicato.

Se so che Rossi Mario è iscritto a facebook di fatto non ho violato la sua privacy, perchè lui nel momento che si iscriveva sapeva che il suo dato veniva pubblicato. Poi la legge probabilmente punirebbe un italiano che generi un Database come quello descritto nell'articolo, ma questa è un assurdità delle legge italiana.
la questione è in effetti insieme controversa eppure "ovvia". Il nocciolo credo sia che FB ha sdoganato l'usare il proprio vero nome su Internet. Prima di questo social network si percepiva il proprio nome (e più che mai il cognome) come una sorta di segreto di Fatima da rivelare solo dopo lunghi tempi di "conoscenza" e provata fiducia. Poi, con la scusa che "se non mi dici come ti chiami veramente le persone poi come fanno a trovarti?", improvvisamente siamo diventati tutti disponibili a dire tutto (prova ne è il fatto che dai profili fb ipercompilati minuzionsamente in un attimo arrivi anche a ricavarti il codice fiscale della persona in questione, il che è francamente spaventoso). Da qui in poi, è stata tutta discesa, dal momento che è andata perdendosi la percezione della pericolosità, dei rischi che si corrono parlando di sè in maniera così aperta.

Ad esempio, ai primi tempi di boom di FB in Italia non mi capitava di vedere un solo nickname (o nome comunque palesemente artefatto), anche perchè, non vorrei sbagliarmi, il sistema di FB stesso li rifiutava. Ora invece ce ne sono sempre di più (io compresa), qualcosa vorrà dire.

Paolo, o chi per lui, vorrei però un chiarimento: cosa intendi per secondo Bowes, se un utente cercabile ha degli amici che non sono cercabili, quegli amici diventano cercabili, che lo vogliano o no.
@ Krystal
Paolo, o chi per lui, vorrei però un chiarimento: cosa intendi per "secondo Bowes, se un utente cercabile ha degli amici che non sono cercabili, quegli amici diventano cercabili, che lo vogliano o no."

Provo a spiegartelo io.
Tra le opzioni per la privacy ve ne è una che ti rende invisibile alle ricerche: nel senso che se io cerco il tuo nome e cognome, mi appariranno tutti quelli che si chiamano come te (e nomi più o meno simili) ma non te.

E' un'opzione che dà l'illusione di essere al riparo da richieste di amicizia non volute (ad esempio quelle dei parenti, ex fidantazi/e, compagni di classe che NON si vogliono rivedere ecc...). In realtà non è così.

Metti che io e te siamo stati in classe assieme, ma -come gran parte dei miei compagni-
non voglio più avere niente a che fare con te: posso mettermi invisibile alle ricerche, in modo che tu, cercando il mio nome e cognome, non riuscirai a trovarmi.
Ma se un giorno tu leggessi un mio post lasciato nella bacheca di un amico in comune, ecco che verrei beccato
E siccome la limitazione più restrittiva alle richieste di amicizia è "amici di amici", a quel punto sarei costretto a rispondere alla tua request (fosse anche solo per negartela).

Ma questo è un altro insegnamento: una volta che ci si iscrive ad un social network -frequentato da milioni di persone- non si può pensare di essere invisibili al 100%.
@replicante

e infatti, mi sembrava di aver capito giusto...anche perchè io stessa ho impostato l'opzione di invisibilità e mi stavano venendo i dubbi. Ma se è così, che c'entra il "secondo Bowes"? Cioè, questa cosa si sa da un tot....e anche a me è capitato di venire aggiunta da gente con amici in comune (molto spesso gli straodiati profili pubblicitari che fanno richiesta a tutto l'elenco amici di una persona). Se sai che puoi venire aggiunta da "amici di amici" credo che sia logico che sai anche che prima o poi qualcuno ti vedrà nell'elenco/bacheca di qualcun'altro....cmq grazie per la spiegazione!
Metti che io e te siamo stati in classe assieme, ma -come gran parte dei miei compagni-
non voglio più avere niente a che fare con te: posso mettermi invisibile alle ricerche, in modo che tu, cercando il mio nome e cognome, non riuscirai a trovarmi.
Ma se un giorno tu leggessi un mio post lasciato nella bacheca di un amico in comune, ecco che verrei beccato
E siccome la limitazione più restrittiva alle richieste di amicizia è "amici di amici", a quel punto sarei costretto a rispondere alla tua request (fosse anche solo per negartela).

Ma questo è un altro insegnamento: una volta che ci si iscrive ad un social network -frequentato da milioni di persone- non si può pensare di essere invisibili al 100%.


Replicante Cattivo facebookologo ad honorem! :-)

Aggiungo che un'altra grave falla è che cercando su Facebook l'indirizzo e-mail di una persona (che magari non ha niente a che vedere con il nome e cognome) si ottiene il profilo della persona cercata con nome, cognome e foto.

Roba sfruttabile da markettari d'ogni risma (oltre che da ben noti sgamatori epici).

Ecco, sento già i passettini frettolosi e impauriti degli utenti che corrono a cambiare l'indirizzo e-mail* :-)

*E comunque temo che Facebook ricordi il vostro vecchio indirizzo e-mail per sempre.
@ Turz
Replicante Cattivo facebookologo ad honorem! :-)

Mi permetto una correzione "istruttiva": un titolo ad honorem viene assegnato ad una persona defunta...a meno che tu non sottointenda che aspetti la mia dipartita per assegnarmi tale onoreficenza :)

Tuttavia l'errore è da segnarsi in matita rossa tratteggiata, in quanto tale locuzione è ampiamente usata in maniera impropria anche a livello giornalistico: le lauree assegnate ai vari Vasco Rossi, Valentino Rossi e Mike Bongiorno sono più volte state definite ad honorem nonostante i rispettivi beneficiari si siano recati alle proprie gambe (anche Vasco Rossi) nelle rispettive università.
La definizione giusta, in questi casi, è honoris causa, anche se per i casi citati (mio compreso) avrei preferito la locuzione sicu-latina ad minchiam. :)
@ Krystal
Ma se è così, che c'entra il "secondo Bowes"?

Credo dipenda dal fatto che Paolo non ha grande conoscenza delke opzioni più recondite di Facebook, dato che lui stesso non ha mai nascosto una certa avversione verso questa piattaforma.
E quindi il suo "secondo Bowes" equivale a quando si citano le parole di un'altra persona, consapevoli del fatto che non si possiedono le conoscenze per confermarle o smentirle.
Qualcosa del tipo "Bowes dice che...poi se sia vero o no, questo non lo posso sapere. E non ho alcuna voglia/interesse a verificarlo :) "
@Replicante Cattivo:
Mi permetto una correzione "istruttiva": un titolo ad honorem viene assegnato ad una persona defunta...a meno che tu non sottointenda che aspetti la mia dipartita per assegnarmi tale onorificenza :)

No, tranquillo, non sono così cattivo :-)

Apprezzo la correzione e starò più attento la prossima volta, però:
1) Il ThreeDogs non menziona la necessità di essere defunti
2) Non è mica tanto chiaro
3) Forse l'equivoco (se di equivoco si tratta) deriva dal fatto che la laurea honoris causa si può assegnare solo a persone vive (il che tuttavia non è equivalente a dire che la laurea ad honorem si possa assegnare solo a cadaveri)
4) Se Accademia dei pedanti legge questo thread, saprà sicuramente illuminarci sulla differenza tra le due espressioni latine.
@Replicante Cattivo:
Qualcosa del tipo "Bowes dice che...poi se sia vero o no, questo non lo posso sapere. E non ho alcuna voglia/interesse a verificarlo :) "

L'ho capita anch'io così. Le tue competenze in traduzione dal rettiliano sono altrettanto buone di quelle in facebookologia ;-)
Prosopobibliologia, volevo dire :-D
Per carità...magari la distinzione tra le due forme è assolutamente inventata (nel senso che sono equivalenti).

Oppure può essere una distinzione decaduta col tempo: nel forum che hai linkato, viene citata una fonte del 1971 a sostegno della differenza di uso (anche se viene usato il verbo "consiglia"), mentre una fonte del 2007 ritiene equivalenti le due definizioni...magari proprio per il fatto che ormai si usano indistintamente entrambe le forme, anche se in maniera errata.

Magari questo può anche dipendere dal fatto che in passato le lauree honoris causa potevano corrispondere ad un vero e proprio titolo di studio (ma qui chiedo a chi ha maggiori competenze) e di fatto il ricevente poteva definirsi "laureato".
E quindi la distinzione tra i due titoli poteva derivare dal fatto che la laurea HC era un vero e proprio titolo, mentre quella AH era un riconoscimento postumo con valore simbolico.

Oggi invece -complice il fatto che queste lauree (ma anche quelle ufficiali) vengono date un po' troppo facilmente- anche le lauree HC vanno considerate come un riconoscimento simbolico. Perchè se Valentino Rossi, grande campione, andasse a dire che lui è "laureato", credo che l'unica risposta sensata sarebbe quella che un grande filosofo riserva solo alle situazioni più importanti.
Vi dico quello che sono riuscito a scoprire; per conferme è indispensabile qualcuno che lavori all'interno dell'università e ne conosca gli statuti e le usanze.

La laurea honoris causa viene conferita a chi ha conseguito meriti eccezionali nella materia. Normalmente è per chi la laurea l'ha già.

Ad honorem viene invece detto di qualcosa che viene dato per ragioni particolari, simboliche o di prestigio: non esistono solo le lauree ad honorem, ma anche le cariche, pubbliche o all'interno di grandi società (tipicamente la carica di presidente o amministratore delegato), e alcuni premi.

La voce di wikipedia sulla laurea ad honorem ha l'aria di essere la classica invenzione di una penelope notturna. Una simile disposizione non sarebbe più in vigore da molti decenni, visto che gli ultimi studenti universitari caduti in battaglia sono precedenti al 1945, ma tant'è: il problema è che la norma a cui fa riferimento dice tutt'altro.

A logica, una laurea postuma è perfettamente inutile: l'Università può ricordare persone distintesi per particolari meriti dopo la morte con medaglie, sale intitolate, titoli interni. A meno che il decesso sia immediatamente successivo alla discussione della tesi, e sia avvenuto mentre il malcapitato si stava recando in ateneo per ritirare il diploma, che senso ha un pezzo di carta intitolato a un morto?
@Accademia dei pedanti:
A meno che il decesso sia immediatamente successivo alla discussione della tesi, e sia avvenuto mentre il malcapitato si stava recando in ateneo per ritirare il diploma, che senso ha un pezzo di carta intitolato a un morto?

Il senso è comunque poco, per ovvi motivi, ma non è limitato al caso estremo e improbabile che hai presentato. Basterebbe ricordare il caso di Valentina Giumelli che prese l'aereo l'8 ottobre 2001 perché faceva la tesi ad Aalborg. Non per sminuire la difficoltà di una tesi di laurea ma, se quell'aereo non fosse caduto, qualunque fossero state le sue capacità, quella povera ragazza avrebbe avuto un'altissima probabilità di laurearsi, per cui la laurea ad honorem è decisamente sensata.
The Pirate Bay è accessibilissimo anche dall'Italia, basta sapere come aggirare quel cavolo di blocco che la legge italiana impone ai provider. Bisgona sfruttare un proxy. Il primo che ho trovato con Google, gratuito, è questo sito qua:
http://anonymouse.org/anonwww.html

Inserite il sito nel riquadro e potete aggirarlo con il proxy. Il sito è
http://thepiratebay.com
SENZA www.

Buon divertimento :D
Aggiungo che un'altra grave falla è che cercando su Facebook l'indirizzo e-mail di una persona (che magari non ha niente a che vedere con il nome e cognome) si ottiene il profilo della persona cercata con nome, cognome e foto.

Cambiate le vostre impostazioni al più presto!

Come si fa? Se avete un indirizzo Gmail (pinco.pallino@gmail.com) basta mettere un po' di punti a casaccio (pinc.opall.in.o@gmail.com) oppure cambiare gmail.com con googlemail.com. Poi date quell'indirizzo a Facebook, non quello principale. Le e-mail vi arrivano lo stesso "per magia" all'indirizzo principale.

(Se non avete Gmail basta fare un indirizzo Gmail e inoltrare tutto al vostro indirizzo principale.)

Fatelo subito, perché sul distintivo dello sgamatore mi sta finendo lo spazio per fare le tacche :-)