sabato 22 giugno 2013

Bug Facebook espone e-mail e numeri di telefono di 6 milioni di utenti


Un bug di sicurezza Facebook ha esposto i contatti personali di almeno 6 milioni di account (e-mail o numero di telefono) ad altri utenti che sono stati collegati a loro e non attraverso un hack. Facebook ha riferito nel tardo pomeriggio di Venerdì che un bug software o problema tecnico nei suoi sistemi ha lasciato le informazioni personali degli utenti esposti a persone che non erano necessariamente i loro amici sul servizio. Il social network ha risolto il problema e sta informando gli utenti interessati.

La società ha detto di aver disabilitato lo strumento "Scarica le tue informazioni" per un giorno, ma lo ha ripristinato dopo la correzione del bug. Inoltre, ci sono stati degli indirizzi email di utenti non-Facebook e numeri di telefono inclusi nello strumento di download per invitare i contatti a iscriversi a Facebook e che questa informazione non è legata a tutti gli account di Facebook e "Non è stata strutturata e non è identificabile". Nella nota diffusa tramite il suo security blog si legge:

"In Facebook, prendiamo la privacy delle persone sul serio, e ci sforziamo di proteggere le informazioni della gente al meglio delle nostre capacità. Implementiamo molte misure di sicurezza, assumiamo gli ingegneri più brillanti e li addestriamo per assicurarci di avere solo il codice di alta qualità dietro le quinte delle vostre esperienze di Facebook. Abbiamo anche i team che si concentrano esclusivamente sulla prevenzione e la risoluzione di problemi tecnici relative alla privacy prima che possano compromettere voi".


"Anche con una squadra forte, nessuna azienda può garantire la prevenzione al 100% di bug, e in rari casi non scopriamo un problema fino a quando non ha già colpito l'account di una persona. Questo è uno dei motivi per cui abbiamo anche un programma di White Hat per collaborare con ricercatori di sicurezza esterni ed aiutarci a garantire il mantenimento degli standard di sicurezza più elevati per i nostri utenti".

"Recentemente - spiega ancora Facebook Security - abbiamo ricevuto una relazione al nostro programma di White Hat per quanto riguarda un bug che può aver permesso ad alcune informazioni di contatto di una persona (e-mail o numero di telefono) di essere accessibili da persone che hanno avuto alcune informazioni di contatto di quella persona o qualche connessione con loro. Descrivendo cosa ha causato il bug può essere abbastanza tecnico, ma vogliamo spiegare come sia successo".

"Quando le persone caricano i loro elenchi di contatti o rubrica per Facebook, cerchiamo di abbinare i dati con le informazioni di contatto di altre persone su Facebook al fine di generare le raccomandazioni di amici. Per esempio, noi non vogliamo raccomandare che le persone invitino i contatti a iscriversi a Facebook se tali contatti sono già su Facebook, invece, vogliamo raccomandare che invitino tali contatti a diventare loro amici su Facebook".


"A causa del bug, alcune delle informazioni utilizzate per formulare raccomandazioni amico e ridurre il numero di inviti che inviamo sono state inavvertitamente memorizzate in associazione con le informazioni di contatto delle persone come parte del loro account su Facebook. Di conseguenza, se una persona è andata a scaricare un archivio del suo account di Facebook tramite il nostro strumento Download Your Information (DYI), essi possono essere stati forniti con altri indirizzi email o numeri di telefono dei loro contatti o persone con cui hanno qualche connessione". 

"Queste informazioni di contatto sono state fornite da altre persone su Facebook e non sono state necessariamente precise, ma sono state inavvertitamente incluse con i contatti della persona che ha utilizzato lo strumento DYI. Dopo la revisione e la conferma del bug dal nostro team di sicurezza, abbiamo immediatamente disabilitato lo strumento DYI per risolvere il problema e siamo stati in grado di trasformare il tool, il giorno successivo, una volta che siamo rimasti soddisfatti della risoluzione del problema".

"Abbiamo concluso che circa 6 milioni di utenti di Facebook hanno condiviso indirizzi e-mail o numeri di telefono. Ci sono stati altri indirizzi email o numeri di telefono inclusi nel download, ma non sono stati collegati a tutti gli utenti di Facebook o anche ai nomi delle persone. Per quasi tutti gli indirizzi email o numeri di telefono inclusi, ogni indirizzo e-mail individuali o numero di telefono sono stati inclusi solo in un download una o due volte".


"Ciò significa, in quasi tutti i casi, un indirizzo email o numero di telefono è stato esposto a una sola persona. Inoltre, altri tipi di informazioni personali o finanziarie non sono stati inclusi e solo le persone su Facebook - non sviluppatori o gli inserzionisti - hanno avuto accesso allo strumento DYI. Al momento non disponiamo di alcuna prova che questo bug è stato sfruttato maliziosamente e non abbiamo ricevuto denunce da parte degli utenti o visto comportamenti anomali sullo strumento o sito per suggerire illeciti". 

"Anche se l'impatto pratico di questo bug è probabilmente minimo per qualsiasi indirizzo di posta elettronica o numero di telefono che sono stati condivisi con le persone che hanno già avuto alcune di queste informazioni di contatto in ogni caso, o che hanno avuto qualche connessione tra loro, è ancora qualcosa che ci ha 'sconvolto e imbarazzato', e lavoreremo doppiamente per assicurarci che nulla di simile accada di nuovo. 

"La vostra fiducia è il bene più importante che abbiamo, e ci siamo impegnati a migliorare le nostre procedure di sicurezza e tenere i vostri dati al sicuro. Abbiamo già notificato ai nostri regolatori negli Stati Uniti, in Canada e in Europa, e siamo in procinto di notificare agli utenti interessati tramite e-mail. Apprezziamo la relazione del ricercatore di sicurezza del nostro programma di White Hat, e abbiamo pagato un bug bounty per ringraziarlo per i suoi sforzi". Un portavoce di Facebook ha ammesso che il bug era attivo dallo scorso anno, ed è stato scoperto solo la scorsa settimana.

Nessun commento:

Posta un commento