Bug Facebook espone e-mail e numeri di telefono di 6 milioni di utenti

Un bug di sicurezza Facebook ha esposto i contatti personali di almeno 6 milioni di account (e-mail o numero di telefono) ad altri utenti che sono stati collegati a loro e non attraverso un hack. Facebook ha riferito nel tardo pomeriggio di Venerdì che un bug software o problema tecnico nei suoi sistemi ha lasciato le informazioni personali degli utenti esposti a persone che non erano necessariamente i loro amici sul servizio. Il social network ha risolto il problema e sta informando gli utenti interessati.

La società ha detto di aver disabilitato lo strumento "Scarica le tue informazioni" per un giorno, ma lo ha ripristinato dopo la correzione del bug. Inoltre, ci sono stati degli indirizzi email di utenti non-Facebook e numeri di telefono inclusi nello strumento di download per invitare i contatti a iscriversi a Facebook e che questa informazione non è legata a tutti gli account di Facebook e "Non è stata strutturata e non è identificabile". Nella nota diffusa tramite il suo security blog si legge:

"In Facebook, prendiamo la privacy delle persone sul serio, e ci sforziamo di proteggere le informazioni della gente al meglio delle nostre capacità. Implementiamo molte misure di sicurezza, assumiamo gli ingegneri più brillanti e li addestriamo per assicurarci di avere solo il codice di alta qualità dietro le quinte delle vostre esperienze di Facebook. Abbiamo anche i team che si concentrano esclusivamente sulla prevenzione e la risoluzione di problemi tecnici relative alla privacy prima che possano compromettere voi".

"Anche con una squadra forte, nessuna azienda può garantire la prevenzione al 100% di bug, e in rari casi non scopriamo un problema fino a quando non ha già colpito l'account di una persona. Questo è uno dei motivi per cui abbiamo anche un programma di White Hat per collaborare con ricercatori di sicurezza esterni ed aiutarci a garantire il mantenimento degli standard di sicurezza più elevati per i nostri utenti".

"Recentemente - spiega ancora Facebook Security - abbiamo ricevuto una relazione al nostro programma di White Hat per quanto riguarda un bug che può aver permesso ad alcune informazioni di contatto di una persona (e-mail o numero di telefono) di essere accessibili da persone che hanno avuto alcune informazioni di contatto di quella persona o qualche connessione con loro. Descrivendo cosa ha causato il bug può essere abbastanza tecnico, ma vogliamo spiegare come sia successo".

"Quando le persone caricano i loro elenchi di contatti o rubrica per Facebook, cerchiamo di abbinare i dati con le informazioni di contatto di altre persone su Facebook al fine di generare le raccomandazioni di amici. Per esempio, noi non vogliamo raccomandare che le persone invitino i contatti a iscriversi a Facebook se tali contatti sono già su Facebook, invece, vogliamo raccomandare che invitino tali contatti a diventare loro amici su Facebook".

"A causa del bug, alcune delle informazioni utilizzate per formulare raccomandazioni amico e ridurre il numero di inviti che inviamo sono state inavvertitamente memorizzate in associazione con le informazioni di contatto delle persone come parte del loro account su Facebook. Di conseguenza, se una persona è andata a scaricare un archivio del suo account di Facebook tramite il nostro strumento Download Your Information (DYI), essi possono essere stati forniti con altri indirizzi email o numeri di telefono dei loro contatti o persone con cui hanno qualche connessione". 

"Queste informazioni di contatto sono state fornite da altre persone su Facebook e non sono state necessariamente precise, ma sono state inavvertitamente incluse con i contatti della persona che ha utilizzato lo strumento DYI. Dopo la revisione e la conferma del bug dal nostro team di sicurezza, abbiamo immediatamente disabilitato lo strumento DYI per risolvere il problema e siamo stati in grado di trasformare il tool, il giorno successivo, una volta che siamo rimasti soddisfatti della risoluzione del problema".

"Abbiamo concluso che circa 6 milioni di utenti di Facebook hanno condiviso indirizzi e-mail o numeri di telefono. Ci sono stati altri indirizzi email o numeri di telefono inclusi nel download, ma non sono stati collegati a tutti gli utenti di Facebook o anche ai nomi delle persone. Per quasi tutti gli indirizzi email o numeri di telefono inclusi, ogni indirizzo e-mail individuali o numero di telefono sono stati inclusi solo in un download una o due volte".

"Ciò significa, in quasi tutti i casi, un indirizzo email o numero di telefono è stato esposto a una sola persona. Inoltre, altri tipi di informazioni personali o finanziarie non sono stati inclusi e solo le persone su Facebook - non sviluppatori o gli inserzionisti - hanno avuto accesso allo strumento DYI. Al momento non disponiamo di alcuna prova che questo bug è stato sfruttato maliziosamente e non abbiamo ricevuto denunce da parte degli utenti o visto comportamenti anomali sullo strumento o sito per suggerire illeciti". 

"Anche se l'impatto pratico di questo bug è probabilmente minimo per qualsiasi indirizzo di posta elettronica o numero di telefono che sono stati condivisi con le persone che hanno già avuto alcune di queste informazioni di contatto in ogni caso, o che hanno avuto qualche connessione tra loro, è ancora qualcosa che ci ha 'sconvolto e imbarazzato', e lavoreremo doppiamente per assicurarci che nulla di simile accada di nuovo. 

"La vostra fiducia è il bene più importante che abbiamo, e ci siamo impegnati a migliorare le nostre procedure di sicurezza e tenere i vostri dati al sicuro. Abbiamo già notificato ai nostri regolatori negli Stati Uniti, in Canada e in Europa, e siamo in procinto di notificare agli utenti interessati tramite e-mail. Apprezziamo la relazione del ricercatore di sicurezza del nostro programma di White Hat, e abbiamo pagato un bug bounty per ringraziarlo per i suoi sforzi". Un portavoce di Facebook ha ammesso che il bug era attivo dallo scorso anno, ed è stato scoperto solo la scorsa settimana.

Data Privacy Day 2012, Facebook spiega gli strumenti per la privacy

Sabato 28 gennaio è stata la Giornata Internazionale della privacy dei dati (https://www.facebook.com/DataPrivacyNCSA) ed il Chief Privacy Officer delle policy di Facebook, Erin Egan, si è offerto di aiutare a controllare la privacy degli utenti. Facebook è stata lieta di festeggiare il giorno dei dati sulla privacy con le comunità internazionali. Il Giorno della Privacy dei dati fornisce l'occasione per mettere in evidenza le risorse e gli strumenti che Facebook offre per aiutarvi a controllare la vostra privacy sul social network.

"All'inizio, voglio sottolineare il nostro impegno per costruire e mantenere la vostra fiducia nei nostri servizi. Siamo consapevoli che la gente ha preferenze sulla privacy diverse: alcune persone vogliono condividere tutto con tutti, alcuni vogliono condividere molto meno e con un piccolo pubblico, e la maggior parte cadono nel mezzo. A causa di questo, lavoriamo per essere sicuri che capite come funziona la condivisione su Facebook e che si può scegliere il modo ampio o ristretto con cui si desidera condividere le tue informazioni", scrive Egan in una nota della pagina di Facebook and Privacy.

Per Egan, l'impegno per questi concetti di base - la comprensione e il controllo - è evidenziato nei seguenti modi:

Trasparenza. Facebook ha scritto la sua Politica di uso dei dati come una guida alla privacy su Facebook. Presenta informazioni in un formato a strati in modo che si possa rapidamente da zero trovare ciò che si vuole e incorpora screenshot esplicativi ed esempi per tutto. Facebook fornisce maggiori informazioni sulle sue norme nel proprio Centro assistenza. E offre strumenti che consentono di accedere alle vostre informazioni personali. Ad esempio, "Download Your Information", disponibile attraverso la vostra pagina delle Impostazioni Account, permette di rimuovere o archiviare i vostri dati personali fuori di Facebook.

Controllo. Facebook fornisce strumenti facili da usare, come i suoi controlli in linea, che consentono di selezionare il pubblico ogni volta che si pubblica un post. Questo controllo si estende alla vostra nuova Timeline. Inoltre, Facebook ha introdotto altre caratteristiche, come il Registro attività - un luogo unico, visibile solo a voi, dove si possono rivedere e gestire tutte le vostre attività su Facebook. È inoltre possibile utilizzare la pagina Privacy Settings, tra le altre cose, per controllare cosa succede quando gli amici vi taggano nel contenuto e controllare le informazioni condivise con le applicazioni.

Responsabilità. Facebook è responsabile per i suoi utenti e alle autorità di regolamentazione per le sue pratiche. Come Facebook ha introdotto nuove funzioni, li ha posto una serie di garanzie procedurali tra le quali la completa recensione della privacy e il rigoroso test di sicurezza dei dati. Una parte importante di responsabilità è garantire che si abbia accesso a risorse che descrivono come i suoi prodotti funzionano. Queste risorse sono in linea suggerimenti sulle caratteristiche di Facebook, il suo Centro di Family Safety, la pagina Facebook Security, e la Pubblicità su Facebook.

A tal proposito ricordiamo che le inserzioni consentono di mantenere Facebook gratuito. Il costo di Facebook attualmente ammonta a oltre un miliardo di dollari all'anno e la pubblicazione delle inserzioni è il modo in cui Facebook finanzia tale costo.

Facebook ha anche lavorato regolarmente con gli esperti di sicurezza per la privacy on-line e regolatori di tutto il mondo. Recentemente il social network ha annunciato un accordo con la Federal Trade Commission per formalizzare e rafforzare il suo programma di privacy. Facebook ha anche completato una verifica da parte dell'Ufficio del Commissario irlandese per la protezione dei dati che ha dimostrato come il social network aderisce ai principi europei di protezione dei dati ed è conforme al diritto irlandese. Facebook dà il benvenuto ai feedback dei regolatori, legislatori, esperti e accademici di tutto il mondo sulle sue pratiche dei dati e politiche.

Quest'anno si è commemorato il Facebook Privacy Day dati nei seguenti modi: Facebook ha collaborato con la National Cyber ​​Security Alliance (NCSA) per ospitare un programma su privacy e sicurezza che è stato visibile in tutto il mondo tramite Facebook Live. L'evento FTC del Commissario Julie Brill, e due gruppi di esperti del settore: Giorno della privacy dei dati 2012.

Watch live streaming video from fbdctalks at livestream.com

Come parte del continuo impegno di Facebook per i suoi utenti e la privacy dei vostri dati, il social network ha ampliato il suo programma Bug Bounty per includere esplicitamente qualsiasi bug o vulnerabilità che compromette la riservatezza dei dati degli utenti. Mentre assume i migliori ingegneri del mondo, e passa innumerevoli ore e risorse sulla sicurezza dei dati degli utenti, si capisce che i bug e le falle a volte si insinuano nei vasti complessi sistemi di fondo della piattaforma Facebook.

Il social network si augura di coinvolgere positivamente la comunità di Internet e di essere in grado di proteggere meglio la sicurezza dei vostri dati. In Europa, i team di Facebook hanno riconosciuto Council of Europe's Data Protection Day (Consiglio d'Europa della Giornata di Protezione Dati). Per esempio, Facebook ha partecipato a una conferenza presso il Parlamento danese.

Tra i relatori vi erano i membri del parlamento danese, la Commissione europea, e il capo del DPA danese. Per saperne di più sull'impegno del social network in Europa, potete visitare il sito: https://www.facebook.com/facebookpublicpolicyeurope. Il 25 gennaio, la Commissione ha adottato proposte importanti per una riforma globale delle norme UE in materia di protezione dei dati per rafforzare i diritti della privacy online e rilanciare l'economia digitale in Europa.