Cerca nel blog

2010/07/29

Facebook, oltre 100M di profili in un file da scaricare

Dettagli di oltre cento milioni di utenti di Facebook pubblicati sul P2P. Panico? Solo un pochino


Questo articolo vi arriva grazie alle gentili donazioni di "yupswing" e "ssalvato".

Il ricercatore di sicurezza canadese Ron Bowes della Skull Security ha reso pubblicamente scaricabili dal circuito peer-to-peer Bittorrent un file da 2,8 gigabyte e 170 milioni di record contenente i dettagli di oltre cento milioni di profili di utenti Facebook. Il file è scaricabile per esempio da The Pirate Bay qui nei paesi nei quali il sito è accessibile.

La notizia ha comprensibilmente generato una certa agitazione (e molta pubblicità per il ricercatore e la sua società), ma i dati pubblicati nel file erano già pubblicamente accessibili per scelta degli utenti o per impostazione predefinita di Facebook. Bowes non ha violato la privacy di nessuno: ha semplicemente compilato quello che chiunque può consultare.

I dati raccolti nel file scaricabile sono l'URL di ogni profilo utente cercabile, il nome dell'utente e il suo identificativo univoco. Tutte informazioni presenti nella Directory di Facebook, che è pubblica. Il file scaricabile non include le password degli utenti.

Niente panico, allora? Non proprio. La pubblicazione di questo enorme archivio (pari a un quinto di tutti gli utenti di Facebook) significa che un utente che dovesse decidere di rendere privato e non cercabile il proprio profilo su Facebook, cambiando le proprie impostazioni di privacy, resterà comunque pubblicamente catalogato (e quindi cercabile) nell'archivio. Non solo: secondo Bowes, se un utente cercabile ha degli amici che non sono cercabili, quegli amici diventano cercabili, che lo vogliano o no.

Inoltre una massa di dati così vasta, compilata in forma digitale, rende possibili analisi altrimenti impensabili su archivi più piccoli. In un'intervista alla BBC, Bowes ha spiegato la questione così: "Con i media cartacei tradizionali, non era possibile compilare 170 milioni di record in un formato cercabile e distribuirlo, ma ora possiamo farlo.. avere il nome di una persona non vuol dire nulla, avere il nome di cento persone non vuol dire nulla; non è statisticamente significativo. Ma quando si inizia a salire a 170 milioni, emergono dati statistici che non abbiamo mai visto prima".

È proprio per questo che Bowes ha raccolto così tanti dati: per analizzarli e determinare per esempio quali sono, a livello mondiale, i nomi utente più diffusi. Un'informazione molto preziosa per chi si occupa di sicurezza informatica e deve difendersi dagli attacchi basati appunto sui tentativi che sfruttano i nomi e le password più comuni. Bowes, infatti, lavora al progetto Ncrack, uno strumento open source che permette di saggiare la resistenza di un sistema informatico agli attacchi basati su login indovinati per forza bruta (a furia di tentativi). Se siete curiosi di sapere quali sono questi nomi, l'elenco è qui su Skullsecurity e nella cache di Google.

Quello che sorprende è che questo genere di raccolta di dati sia stato così facile e non sia stato bloccato da Facebook. Eppure in altri casi analoghi il social network in blu era intervenuto: nel 2008 il giornalista Robert Scoble fu bandito da Facebook per aver usato un servizio automatico, Plaxo, per compilare le informazioni di contatto dei suoi amici su Facebook.

L'episodio, insomma, non va visto come una violazione di Facebook, ma come un'occasione per portare all'attenzione degli utenti il fatto che quando si pubblica un dato personale su Internet se ne perde definitivamente il controllo, checché ne dicano le garanzie di privacy offerte dai social network.

Fonti: Punto Informatico, Webnews.it, Ars Technica, Guardian, BBC.

Nessun commento: