Facebook controlla i link dei messaggi privati, bug incrementava i Mi Piace

"Quando si invia un link a qualcuno in un messaggio privato su Facebook, quant'è privato?" E' ciò che si è chiesto il Wall Street Journal nei giorni scorsi. Un recente video online mostra che il sito di social network analizza i link che si stanno inviando e registra i "Like" che vengono dati alle pagine. E' solo un esempio di come messaggi online che sembrano privati ​​sono spesso effettivamente esaminati dai sistemi di sicurezza di Facebook per analizzare i dati.

Video invisibili e foto indecenti all'insaputa su Facebook: cosa c'è di vero

Su Facebook continua a girare il messaggio bufala che avviserebbe dei filmati pornografici pubblicati all'insaputa dell'utente sulla propria bacheca. Il testo del post viene periodicamente modificato e ricondiviso per creare sempre allarmismo tra gli utenti che non si sono imbattuti nei vecchi post. In particolare, da qualche mese gira il seguente messaggio: 

"ATTENZIONE ! Vi informo che qualche figlio di buona donna stà pubblicando video invisibili e foto indecenti per le famiglie, sui profili senza che voi lo sappiate. Il padrone della bacheca non lo vede, ma gli altri si!!! Compare come se fosse una pubblicazione originale, addirittura viene aggiunto un commento. Per favore se per caso accade sulla mia bacheca o se vi arriva qualcosa del genere da parte mia, cancellatelo!! L'amicizia e il rispetto verso voi per me significa molto!!! CONDIVIDETE sulla vostra bacheca, avvisate i vostri amici così evitiamo problemi e questioni offensive, grazie! Fatelo girare GRAZIE".

In effetti nessuno può pubblicare contenuti sulla bacheca di un utente senza che questo se ne possa accorgere (si riceverebbe comunque una notifica da parte di Facebook). Eppure un sistema ci sarebbe, o meglio è sempre l'utente ad innescare l'azione ma senza averne consapevolezza. 

Un nostro lettore ci ha infatti segnalato un particolare scam che abbiamo analizzato e che in effetti permette la pubblicazione di contenuti "bollenti" a nome dell'utente. La truffa inizia con un post condiviso sulla bacheca d'un amico caduto nella truffa e che recita testualmente: "Guardate cosa sta per succedere a questa ragazza super sexy al mare! incredibile! [LINK] Non anticipo niente! Non si può riassumere! Va visto per forza!"

Se clicchiamo sul link veniamo rimandati ad una pagina esterna al social network che ripropone il tema grafico di Facebook e la falsa anteprima video d'una ragazza, dove leggiamo: "sorprendente: guardate cosa ha fatto questa ragazza di Los Angeles in camera sua!"

Il contenuto verrà subito bloccato e si aprirà una ulteriore finestra pop-up dove verremo invitati a "raccomandare" e condividere il post sulla nostra bacheca.

In realtà nel momento in cui  si clicca sul pulsante "Recommend", il contenuto verrà AUTOMATICAMENTE condiviso sulla propria bacheca senza la necessità che l'utente debba intraprendere ulteriori azioni, come cliccare sul pulsante "Post to Facebook" o premere la combinazione dei pulsanti "Alt" + "F4".

Quando si clicca su un plug-in sociale come i pulsanti "Mi piace" o "Consiglia", questi diventano più scuri a indicare la nostra approvazione. Come spiega il Centro Assistenza del social network: "Su Facebook, verrà pubblicata una notizia nel Diario, che potrebbe essere visualizzata anche nel riquadro degli aggiornamenti e/o nella sezione Notizie, come se avessi cliccato su Mi piace su un contenuto all'interno di Facebook."

L'utente che non è a conoscenza di ciò (e sono in tanti) NON SI ACCORGERA' di aver condiviso il post sulla propria bacheca e ciò vale per qualsiasi contenuto che utilizza uno dei plug-in messi a disposizione da Facebook. L'unico requisito richiesto è di essere connesso a Facebook quando clicchiamo sul pulsante.

La pagina successiva sarà quella consueta dei sondaggi scam, che farà guadagnare una commissione per ogni clic da parte dell'utente andato a buon fine. Potrebbero aprirsi pagine di abbonamenti a suonerie per cellulari o pagine pubblicitarie con nomi simili ad aziende note. Inoltre potremmo essere anche invitati a scaricare dei file .EXE che potrebbero essere dannosi e contenere del malware.

Per rimuovere il vostro "Mi piace" dalla pagina scam andate sulla vostra bacheca, cercate il post in questione e cliccate su "Non mi piace più..."

Verificate inoltre le vostre iscrizioni a pagine sconosciute tramite l'apposito link del connessioni facebook.com/browse/other_connections_of. Riguardo ai plug-in sociali, in alcuni casi, quando clicchiamo sui pulsanti "Like" o "Consiglia" su un contenuto esterno a Facebook, queste connessioni funzionano come per i contenuti che ci piacciono su una Pagina Facebook. Vengono visualizzati sul nostro Diario, è possibile ricevere messaggi o aggiornamenti nella sezione Notizie e possiamo essere associato alla connessione nelle Pagine, negli annunci pubblicitari o negli stessi plug-in sociali. 

Per questo è possibile rimuovere un "Mi piace" dal vostro Registro attività privato oppure ritornando sulla pagina Web in cui avete cliccato su "Mi piace" e selezionare "Non mi piace più" cliccando sulla X (il pulsante cambierà colore e diventerà più chiaro). Il consiglio, come in tutti i casi simili, è quello di non cliccare su post alla cieca e di non scaricare file da siti sconosciuti.

DDR Facebook: riaperto periodo utile a modifiche policy, inviate i vostri commenti

In queste ore, grazie ai commenti alla nuova proposta per la Dichiarazione dei diritti e delle responsabilità (DDR) e sulla base del feedback degli utenti, Facebook ha annunciato nuove revisioni alle modifiche proposte alla DDR. Anche dove non sono state effettuate revisioni, il social network ha fornito una spiegazione della modifica originale. Alcuni hanno criticato i cambiamenti apportati in sordina e Facebook ha deciso di riaprire il periodo utile per inviare commenti alla nuova DDR proposta, per dare agli utenti un'altra opportunità per rivedere le modifiche proposte e inviare i loro commenti prima di finalizzare il documento.

"Stiamo per pubblicare oggi alcune modifiche riviste della DDR che riflettono i commenti inviatici dagli utenti, e anche dove non abbiamo effettuato revisioni, desideriamo fornire una spiegazione della modifica originale", scrive Facebook Site Governance. "In effetti, - prosegue Facebook - molti dei commenti che ci sono pervenuti erano per richiedere spiegazioni anziché modifiche. Il periodo utile per commentare le modifiche proposte si riapre oggi, consentendo agli utenti di inviare i loro commenti sulle nuove modifiche proposte".

"Alcuni degli utenti e numerosi giornalisti", secondo Facebook, "avrebbero frainteso l'aggiornamento proposto alla DDR riguardante i cambiamenti nel modo in cui Facebook raccoglie o utilizza i dati". La Normativa sull'utilizzo dei dati (chiamata in precedenza "Normativa sulla privacy") disciplina il modo in cui Facebook raccoglie e utilizza i dati. "Al momento, - spiega Facebook - non stiamo proponendo alcun aggiornamento a tale documento, al contrario abbiamo proposto modifiche alla DDR di carattere principalmente amministrativo e chiarificatore (come la variazione da 'profilo' a 'diario')".

Sulla base dei commenti degli utenti, Facebook ha aggiunto una nuova frase nell'introduzione alla DDR e nella Sezione 1 per chiarire la distinzione fra la DDR e le altre sue normative, compresa la Normativa sull'utilizzo dei dati. Facebook tiene a precisare che ha cambiato il nome della sua normativa sulla privacy in “Normativa sull'utilizzo dei dati” nel settembre 2011, perché ritiene "che questo nome descriva meglio le informazioni fornite nel documento". Il suo scopo è quello di ottenere la coerenza nei termini utilizzati nella DDR. Per consultare la sua Normativa sull'utilizzo dei dati, cliccare qui (https://www.facebook.com/about/privacy/). Per inviare domande o reclami alla normativa cliccare qui.

La Sezione 2 descrive il modo in cui i contenuti e le informazioni degli utenti sono condivisi su Facebook. Molti utenti hanno inviato commenti sull'aggiunta della frase "l'utente o gli altri che possono vedere i contenuti e le informazioni dell'utente" nella Sezione 2.3. "Dopo aver analizzato i commenti che ci sono pervenuti, - scrive Facebook - abbiamo riscritto la Sezione 2.3 spiegando meglio il modo in cui gli utenti e gli altri condividono i contenuti e le informazioni con le applicazioni". Facebook ha aggiunto, inoltre, riferimenti e link a risorse che descrivono il funzionamento delle applicazioni su Facebook e i controlli a disposizione degli utenti.

Quando l'utente condivide informazioni con altri tramite le applicazioni sulla Piattaforma, tali applicazioni devono rispettare le sue normative sulla Piattaforma di Facebook. Nel maggio 2007, nella sua normativa sulla privacy è stata inserita la seguente spiegazione: "Se l'utente, i suoi amici o i membri della sua rete utilizzano applicazioni di terzi, sviluppate utilizzando la Piattaforma Facebook ('applicazioni della Piattaforma'), tali applicazioni della Piattaforma possono accedere a determinate informazioni riguardanti l'utente e condividerle con altri in base alle impostazioni sulla privacy selezionate dall'utente".

Dal settembre 2011, è spiegata in una sezione della sua Normativa sull'utilizzo dei dati chiamata "Condivisione con altri siti Web e applicazioni" (https://www.facebook.com/about/privacy/your-info-on-other). L'utente, per evitare che gli amici importino informazioni che lo riguardano nelle applicazioni che utilizzano, può impostare le opzioni desiderate nei controlli della sezione "Applicazioni e siti Web" della pagina Impostazioni sulla privacy. Tramite queste impostazioni l'utente può controllare la maggior parte delle sue informazioni che gli amici possono condividere e bloccare le singole applicazioni.

L'utente può inoltre disattivare completamente la Piattaforma, impedendo così agli altri di condividere qualsiasi sua informazione con le applicazioni. Tutto ciò è spiegato nella sua Normativa sull'utilizzo dei dati (https://www.facebook.com/about/privacy/your-info-on-other#friendsapps). La Sezione 3 descrive il modo in cui Facebook può collaborare per garantire la sicurezza degli utenti su Facebook. Alcuni utenti hanno chiesto una spiegazione più approfondita a Facebook del perché abbia cambiato l'espressione che vieta i "messaggi di odio" in "discorsi che incitano all'odio" nella Sezione 3.7.

"Riteniamo che l'espressione 'discorsi che incitano all'odio' descriva meglio la nostra normativa sui contenuti vietati, che è rimasta invariata", spiega Facebook. "A volte le discussioni su Facebook includono contenuti controversi, che qualcuno potrebbe interpretare come 'messaggi di odio'. Mentre consentiamo le discussioni su idee, istituzioni, eventi e prassi controverse, non tolleriamo i discorsi che incitano all'odio [...] Ciò è inoltre coerente con i  Standard della comunità (https://www.facebook.com/communitystandards/)", conclude Facebook.

La Sezione 5 descrive le linee guida che utilizza Facebook per rispettare i diritti delle persone sulla Piattaforma. Nella Sezione 5.9, in particolare, Facebook ha sostituito la modifica originale con una nuova frase per evidenziare come è possibile fornire i propri commenti sull'aggiunta dei tag: "Cosa può fare un utente se un altro utente lo tagga contro la sua volontà?". Facebook offre molti strumenti per controllare l'aggiunta dei tag. Ad esempio, è possibile: attivare il Controllo del profilo (diario), che consente all'utente di controllare i post e le foto in cui è taggato prima che siano pubblicate sul suo profilo (diario).

È possibile inoltre segnalare un abuso su Facebook o utilizzare il suo strumento di segnalazione sociale (https://www.facebook.com/help/?faq=128548343894719). La Sezione 6 spiega in che modo Facebook interagisce con i dispositivi mobili. Nell'ambito di queste integrazioni mobili, altri utenti potrebbero sincronizzare o salvare informazioni condivise con loro su un dispositivo mobile. La Sezione 8 riguardava in precedenza al pulsante Condividi link, uno di primi plug-in di Facebook che i terzi potevano mettere sui loro siti Web.

Facebook ha voluto chiarire che le disposizioni riguardanti il pulsante Condividi link si applicano all'utilizzo di tutti i plug-in sociali. Perciò ha sostituito i riferimenti a "Condividi link" con "plug-in sociali". Le sue normative relative ai plug-in sociali non sono cambiate. I plug-in sociali sono descritti nella sua Normativa sull'utilizzo dei dati (https://www.facebook.com/about/privacy/your-info-on-other#socialplugin) e nel Centro assistenza (https://www.facebook.com/help/social-plugin-privacy) e il modo in cui i terzi possono utilizzarli è descritto nelle sue Normative della Piattaforma (https://developers.facebook.com/policy/).

I commenti sostanziali e pertinenti sulle modifiche specifiche possono aiutare Facebook a decidere se incorporare o riconsiderare una determinata proposta o se sia necessario un voto. Per vedere un documento in cui siano evidenziate le modifiche, è possibile usare la versione inglese con le "revisioni". Eventuali commenti devono essere lasciati entro le ore 17:00 (Fuso orario del Pacifico) del 27 aprile 2012. Le modifiche al documento sono disponibili qui: https://www.facebook.com/fbsitegovernance?sk=app_4949752878. I commenti possono essere lasciati alla fine della nota su Facebook: http://www.facebook.com/note.php?note_id=10151547206235301.

Facebook traccia iscritti e non iscritti anche durante navigazione Web

Nelle ultime settimane, Facebook ha litigato con la Federal Trade Commission circa la possibilità che il sito di social media stia violando la privacy degli utenti, rendendo troppo pubbliche le loro informazioni personali. Il social network sembra aver raggiunto un'accordo e i suoi funzionari hanno ammesso che il gigante dei social media è stato capace di creare un registro di esecuzione delle pagine web che ciascuno dei suoi 800 milioni di utenti hanno visitato durante i precedenti 90 giorni.

Facebook traccia gli utenti anche dopo logout, smentita del network?

L’hacker Nic Cubrilovic ha pubblicamente accusato Facebook di tracciare le attività dei suoi utenti anche dopo l'effettuazione del "logout". Facebook ha definito questo "piccolo inconveniente" come un "bug", ma le numerose critiche ricevute hanno costretto il social network ha fornire delle spiegazioni più plausibili. Il ricercatore, dopo aver effettuato una serie di test analizzando le intestazioni delle richieste HTTP inviate dal browser web al dominio facebook.com, ha verificato come il social network alteri il contenuto dei suoi cookie nel momento in cui viene effettuato il logout dal servizio anziché provvedere ad una loro rimozione.

Vietato in Germania il Like di Facebook, verrebbero creati profili utenti

Lo stato tedesco dello Schleswig-Holstein ha ordinato alle istituzioni statali di chiudere le loro pagine ufficiali su Facebook e rimuovere il pulsante Like dai loro siti web, per evitare di incorrere in sanzioni pecuniarie. Il garante della privacy dello Stato tedesco dice che dall'analisi eseguita dal suo ufficio è emerso che Facebook costruisce i profili degli utenti e non utenti con i dati raccolti attraverso il plug-in Like, riporta Associated Press.

Facebook introduce il pulsante Invia: una nuova minaccia per gli utenti?

Poco più di un anno fa, Facebook ha introdotto il pulsante Like per aiutare a condividere le cose che valgono per le persone con tutti i loro amici. Si trattava delle più importanti novità presentate da Facebook agli sviluppatori durante la conferenza F8. E proprio qualche giorno fà Facebook ha celebrato il primo anniversario del Like Button.  Per gli utenti registrati su Facebook, il pulsante serve ad evidenziare agli amici il gradimento che hanno avuto per una pagina o contenuto. Il “Like button” fa parte di una serie di “social plugin” e widget che Facebook ha rilasciato per rendere il Web più sociale mediante l’Open Graph Protocol.

Ed i truffatori non hanno perso tempo a sfruttare questa funzionalità per i loro nefandi scopi. Infatti, l'anno scorso è stato scoperto un analogo utilizzo fraudolento dei click sulla funzionalità mi piace di Facebook, battezzato dall'inglese likejacking. Questa tecnica fraudolenta deriva dal clickjacking, una tecnica utilizzata da alcuni anni dai cybercriminali per intercettare il click di un utente e per dirottarlo su siti di malware o per eseguire azioni che l’utente non aveva intenzione di fare.

Ad un anno di distanza dalla scoperta, però, Facebook non ha ancora trovato una soluzione definitiva al problema. Probabilmente una possibile soluzione potrebbe essere quella di richiedere un’autorizzazione all’utente tramite un messaggio pop-up del tipo: “vuoi confermare questo link come Mi Piace?”. Questo aggiungerebbe quantomeno un ulteriore grado di sicurezza che renderebbe più difficile la diffusione di worm e truffe attraverso il likejacking.

Succesivamente, in tempi recenti, il pulsante Like ha implementato una nuova funzione che permette di condividere l’oggetto (pagina, mood, foto, ecc.) apprezzato sulla propria bacheca, proprio come si può fare con il pulsante “condividi”. Una nuova funzionalità che ha visto crescere lo spam su Facebook, perchè l'utente cliccando "Mi Piace" su un oggetto o pagina, dove è previsto condivide il contenuto sulla propria bacheca, rendedolo di fatto visibile a tutti i propri amici. E' evidente che un sistema simile ha fatto gola a molti spammer.

Adesso Facebook concede un fratello minore al pulsante Like, e cioè il "Send Button" ("Pulsante Invia"). Col nuovo pulsante, integrabile su qualunque sito Web sarà possibile condividere informazioni sotto forma di link  e testo soltanto con alcuni sottoinsiemi della propria rete sociale: un gruppo di Facebook, un singolo amico o una limitata lista di persone (attraverso i messaggi interni del sito) oppure un singolo indirizzo e-mail. Secondo Facebook ci sono molti momenti in cui le persone vogliono condividere qualcosa solo con alcune persone.

Così oggi, Facebook sta introducendo il pulsante Invia, il modo più semplice per condividere le cose privatamente con i gruppi e gli individui. Il pulsante Invia (Send) è un plug-sociale con il quale è possibile condividere con un solo individuo o tutto l'intero gruppo in esecuzione in un solo click un dato oggetto. Il pulsante "Invia" le unità di traffico, consentendo agli utenti di inviare un link e un breve messaggio alle persone che potrebbero essere più interessate.

In questo modo non si ha bisogno di lasciare la pagina web su cui vi trovate o compilare un lungo form. Rispetto alle alternative, il pulsante Invia ha un minor numero di passaggi necessari, e si elimina la necessità di cercare indirizzi e-mail auto-suggerendo ad amici e gruppi. Ed è questo il punto che a noi non ci convince e cioè il fatto che qualcuno possa spedire nella posta dell'utente direttamente un dato contenuto.

Se per ipotesi lo spammer di turno ha creato un gruppo che apparentemente risulta legittimo e raccoglie centinaia di migliaia di utenti, sarà possibile allo stesso inviare contemporaneamente a tutti gli iscritti un link fraudolento, che per esempio rimanda ad un sito malware o scam, o che può scaricare virus sul PC delle vittime designate. Si possono fare molti esempi, ma è evidente che in questo modo non c'è uno sbarramento o un passaggio che filtri questa azione. In attesa che Facebook possa introdurre, a questo punto, un sistema antispam per la posta, vi consigliamo di prestar attenzione ai gruppi ai quale vi iscrivete e alle amicizie che accettate, altrimenti si parlerà di Sendjacking. Coming soon per ulteriori aggiornamenti.