Facebook hackerata, sanzioni GDPR?

Mark Zuckerberg il mese scorso ha ammesso di aver scoperto un attacco hacker che ha preso di mira circa 50 milioni di account Facebook, mettendo a rischio le informazioni personali degli utenti. Una nuova tegola per il colosso social, già toccato dallo scandalo Cambridge Analytica e in difficoltà nel contrastare chi sfrutta la piattaforma per divulgare fake news e interferire nelle elezioni.  Si parlava di cinquanta milioni di account violati, poi ridotti a trenta e, nella quasi totalità dei casi, gli hacker sono entrati con successo in possesso di dati personali: Facebook ha però assicurato che i cyber criminali non sono riusciti ad accedere a dati di App di terze parti. Sono arrivate rassicurazioni da parte dei portavoce del colosso di internet ma sembrerebbe che per circa 15 milioni di utenti, l’accesso abbia colpito username e informazioni di contatto (incluso il numero di telefono), l’indirizzo email e altre informazioni di contatto tra quelle che gli utenti hanno condiviso sui propri profili. Per altri 14 milioni circa di account, l’accesso ai dati personali è stato più ampio e, oltre alle informazioni personali, sono stati sottratti altri dettagli dai profili come il sesso, la lingua, lo stato delle relazioni, la religione, la città natale, i dispositivi usati per accedere a Facebook, i titoli di istruzione, la posizione lavorativa, gli ultimi 10 luoghi in cui l’utente è stato taggato o si è registrato, il sito web, le persone o pagine che seguono e le 15 ricerche più recenti.

I cyber criminali non sarebbero stati in grado di accedere ai contenuti dei messaggi privati, ma con un’eccezione pesantissima: se un utente è amministratore di una pagina che ha ricevuto o scambiato messaggi con altri interlocutori, il contenuto di tali messaggi è esposto agli attacchi.

Sembra che i cyber criminali siano partiti da un numero esiguo di profili per poi spostarsi, grazie a vari automatismi, da un account all’altro sfruttando le liste di amici: per ogni utente hanno copiato il token di accesso, cioè è quello strumento che, contenendo già i dati di accesso, permette il login diretto a Facebook e ad altre App collegate e la possibilità di rimanere collegati senza dovere, ogni volta, reinserire le credenziali.

Questo data breach non è il primo, anche se indubbiamente il più grave ma, a differenza del caso di Cambridge Analytica, per questo attacco Facebook rischia da parte dell’Unione Europea, una multa fino a 20 milioni di euro o, peggio, del 4% del fatturato annuale. Sarà l’autorità privacy irlandese ad occuparsi del caso, dato che Facebook ha la propria sede legale Irlanda, anche se, come già annunciato, l’investigazione verrà svolta in rappresentanza dell’intera Unione Europea.

Questo accesso, infatti, è avvenuto dopo il termine del 25 maggio 2018, vale a dire la data ultima concessa dall’Unione Europea alle aziende che gestiscono dati, di adeguarsi al nuovo Regolamento che ha sostituito la precedente normativa in materia, quella definita in Italia la Legge sulla Privacy.

Questo nuovo Regolamento (GDPRGeneral Data Protection Regulation) – che trova molta riottosità nella sua applicazione, dovute anche ad un regolamento dal testo decisamente ostico e da norme che lo hanno recepito ancora non molto chiare – prevede infatti non solo le pesanti sanzioni amministrative di cui sopra, ma anche la possibilità da parte di ogni utente i cui dati siano stati trattati o conservati in materia non adeguata, di richiedere il risarcimento dei danni subiti. Immaginiamo un’azienda che riceve trenta milioni di cause.

Il problema della gestione e trattamento dei dati personali per Facebook e tutte le più importanti piattaforme social, è decisamente oneroso a livello sia organizzativo che gestionale rispetto a per realtà più piccolo. Ma il punto a molti sfuggito, è che anche un’azienda di piccole dimensioni o un libero professionista, devono adeguarsi alla nuova disciplina, pena le stesse conseguenze che, oggi si trova ad affrontare Zuckenberg. È pur vero che un hacker interessato ad entrare in possesso di dati personali preferirà concentrare i suoi sforzi su obiettivi più proficui, ma è decisamente più probabile che le difese approntate da aziende medio piccole siano più labili e meno accurate e, di conseguenza, i pirati informatici potranno dedicarsi a questi obiettivi più semplici da colpire. Mettendoli nella stessa situazione in cui oggi si trova Facebook.

©Futuro Europa® Le immagini utilizzate sono tratte da Internet e valutate di pubblico dominio: per segnalarne l’eventuale uso improprio scrivere alla Redazione

Condividi
precedente

Cronache dai Palazzi

successivo

Grazie Draghi

Rispondi

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *