sabato 27 ottobre 2012

Venduti 1 milione ID Utente e Email Facebook raccolte con Apps per 5 $


Il blogger bulgaro Bogomil Shopov ha scritto martedì di aver acquistato un foglio di calcolo contenente 1.100.000 ID utente di Facebook e indirizzi e-mail per 5 dollari. I dati sono stati presumibilmente raschiati da applicazioni di terze parti e offerti in vendita su un sito Web chiamato Gigbucks.com da un utente denominato "mertem". Shopov ha verificato che le e-mail conformi agli ID utente di Facebook, erano per la maggior parte di loro private.  

Shopov ha individuato nella lista anche persone che conosce. Il giorno dopo, è stato contattato dal team delle policy della piattaforma Facebook. Secondo una versione cache della pagina di vendita su Gigbucks, le informazioni sono state raccolte per lo più da utenti di lingua inglese di Facebook negli Stati Uniti, Canada, Regno Unito e in Europa. Una lunga lista di utenti soddisfatti nella parte inferiore della pagina testimonia l'accuratezza delle informazioni.

Sulla pagina si legge: "Le informazioni contenute in questo elenco sono state raccolte attraverso le nostre applicazioni di Facebook e constano soltanto di utenti attivi Facebook, in gran parte degli Stati Uniti, Canada, Regno Unito e Europa. Ci sono utenti di altri paesi, ma sono quasi esclusivamente in lingua inglese e, come tutte le applicazioni che offriamo sono scritte in inglese e per utilizzarle in modo corretto si ha la necessità di leggere le istruzioni." 

Ed ancora: "La lista è verificata e convalidata una volta al mese in modo da non avere una lista completa di indirizzi email non validi o duplicati. Sia che si sta offrendo un prodotto in generale su social media Facebook, Twitter, o di altro tipo, questa lista ha un grande potenziale per voi. Infine, la lista è uno split zip in formato excel in 12 fogli, ogni foglio contiene circa 100.000 indirizzi e-mail con nome, cognome e informazioni sul profilo facebook separati da virgola".


Facebook ha investigato sull'apparente violazione dei dati dei suoi utenti, che potrebbe portare ad attacchi di spam e phishing, e ha detto in un comunicato a Forbes che lo scraping delle informazioni è avvenuto prelevando i dati pubblici degli utenti, piuttosto che dalla raccolta attraverso un'applicazione. Vale la pena notare che Shopov dice che alcuni dei messaggi di posta elettronica selezionati dalla lista non sono erano pubblici, mettendo in dubbio la teoria della raschiatura.

Dunque i dati sarebbero stati raccolti dalle applicazioni di Facebook ma non si limiterebbero alle informazioni prelevate da profili pubblici. E' possibile però che gli utenti abbiano reso visibili pubblicamente i loro indirizzi e-mail in un momento precedente. Shopov confermato questi eventi a Mashable: "In risposta al mio post precedente circa 1.000.000 di account facebook che ho comprato per 5 $ , ho ricevuto questo invito da Facebook", scrive il blogger in un post sul suo blog.

"Hi Bogomil, - scrive Facebook - We’d like to set up a call with you to discuss a recent blog post of yours. Could you please provide a time and a phone number that works with your schedule? Thanks, Platform Policy Team Facebook". Che tradotto in italiano: "Ciao Bogomil,  vorremmo chiamarti per discutere su un recente post sul tuo blog. Ti preghiamo di fornirci del tempo e un numero di telefono funzionante? Grazie, il team delle policy della piattaforma Facebook".

"Ho avuto una conversazione con loro (Facebook ndr) per questo ho pubblicato ciò sul mio blog", racconta Shopov. "Non volevo lasciare questa impressione su di me, e ci siamo accordati su come trasferire i dati a loro. Ho fornito i dati a Facebook attraverso il loro sistema sicuro. Ho promesso di cancellare i dati, e l'ho fatto". Shopov ha condiviso uno screenshot  sul sicuro trasferimento dei dati. Il venditore ha detto che i dati provengono da un'applicazione su Facebook.


Il team di Facebook ha ringraziato Shopov, ma gli ha anche chiesto di non condividere le informazioni sulla loro conversazione nel suo profilo e il suo blog: "...dicci se hai dato una copia a qualcuno, fornisci il sito da cui hai acquistato tra cui tutte le operazioni con esso e il sistema di pagamento e rimuovi una coppia di cose dal tuo blog. Oh, a proposito, non ti è permesso di rivelare qualsiasi parte di questa conversazione, ma è un segreto che stiamo avendo in questa conversazione".

Shopov ha anche trasmesso il testo di una e-mail che ha ricevuto da "Josef" di Gigbucks, spiegando che questo elenco è in chiara violazione dei loro termini. "Ciao, io sono l'amministratore di Gigbucks e volevo farti sapere che abbiamo eliminato gli ID degli utenti Facebook dal nostro server, che chiaramente non possono essere offerti su Gigbucks, e abbiamo bloccato l'account 'mertem' per violazione dei nostri termini e condizioni (...)", ha scritto Gigbucks in una e-mail.

"Mi scuso e ci adopereremo per migliorare il nostro processo di revisione per assicurarci che queste cose non vengano pubblicate su Gigbucks nuovamente. Per favore fammi sapere se c'è altro altro che possiamo fare". In effetti l'account di "mertem" è stato eliminato ma, dalla visualizzando la copia cache del suo profilo su  Gigbucks, è possibile leggere anche l'annuncio della messa vendita di 310.000 e-mail valide di altrettanti utenti Twitter attivi. Sul post mertem scriveva:

"Le informazioni contenute in questo elenco sono state raccolte attraverso le nostre applicazioni su Twitter negli ultimi 6 mesi e constano solo di utenti Twitter attivi. Questo elenco è stato raccolto in esclusiva da noi e non è stato utilizzato da chiunque fino ad ora a differenza di altre liste a disposizione del pubblico che sono per lo più utilizzate da migliaia di persone. Gli utenti di questo elenco provengono in gran parte degli Stati Uniti, Canada, Regno Unito e in Europa".


"Ci sono utenti di altri paesi, ma sono quasi esclusivamente in lingua inglese e, come tutte le applicazioni che offriamo sono scritte in inglese e per utilizzarle  in modo corretto bisogna necessariamente leggere le istruzioni. Ci sono esattamente 311.288 e-mail nella lista. Si che si vuole promuovere un prodotto o un servizio su Twitter e Facebook, questa lista ha un grande potenziale per voi". La persona che vende la lista sarebbe dunque un developer di applicazioni.

Tale sviluppatore ha usato applicazioni Facebook e Twitter per raccogliere informazioni sugli utenti per un periodo di sei mesi. Quel che è certo è che nessuna password di Facebook e Twitter è fuoriuscita con le e-mail degli utenti. Un rappresentante di Facebook ha risposto alla richiesta di commento da parte di Mashable: "Facebook è vigile per proteggere i nostri utenti da parte di chi avrebbe cercato di esporre qualsiasi tipo di informazioni sugli utenti".

"In questo caso, - continua Facebook - sembra che qualcuno abbia cercato di raschiare le informazioni dal nostro sito. Abbiamo tecnici della sicurezza dedicati e team che guardano dentro e intraprendono azioni aggressive proprio da relazioni come queste. Continuiamo a indagare su questo individuo specifico". Secondo uno studio pubblicato ad ottobre dell'anno scorso, alcuni importanti siti Web hanno trapelato il nome utente o l'ID utente a terze parti.

Questo problema pone, ovviamente, problemi di privacy per gli utenti di Facebook. Proprio in queste ore  il social network sta chiedendo di verificare il proprio numero di telefono, come procedura di sicurezza. Nel caso delle applicazioni di terze parti, si tratta di fornire i privilegi quando si connettono al vostro account. La maggior parte hanno accesso ai dati privati ​​sul profilo (indirizzo e-mail, comportamento degli utenti) e alcune permettono di accedere anche a questi dati degli amici.


Gran parte delle applicazioni vengono utilizzate per esperienze e giochi sociali. Ma è relativamente facile per uno sviluppatore di applicazioni dannose raschiare le informazioni in un database e venderlo per marketing  agli spammer, l'intenzione probabile in questo caso. Come ci si può proteggere? Siate consapevoli delle applicazioni che si connettono al vostro account Facebook.

Utilizzate solo applicazioni attendibili da editori affermati, e anche allora, non collegate molte di queste app al vostro profilo. Controllate le vostre applicazioni spesso e rimuovete quelle indesiderate o sconosciute. Andate alle vostre impostazioni di privacy, fate clic su Inserzioni, applicazioni e siti Web e rimuovete le applicazioni che non state utilizzando o che potrebbero essere state collegate al vostro account involontariamente.

Controllate cosa possono vedere di voi le applicazioni utilizzate dai vostri amici. Anche se non si dispone di app connesse al vostro account, le informazioni private condivise con gli amici potrebbero essere accessibili alle app stanno utilizzando. Se non si utilizzano applicazioni o giochi, è possibile disattivare completamente la piattaforma di Facebook, che ridurrà l'accesso esterno dei vostri dati personali a sviluppatori di terze parti completamente.

Fare clic su Disattiva la possibilità di utilizzare applicazioni nella prima sezione. Quando disattivate tutte le applicazioni della Piattaforma, il vostro ID utente non viene più fornito alle applicazioni, anche quando vengono utilizzate dai i amici. Tuttavia, non potrete più utilizzare giochi, applicazioni o siti Web attraverso Facebook. Per maggiori in formazioni vi rimandiamo alla sezione specifica sulla normativa dell'uso dei dati da parte di Facebook.

6 commenti: