Il server trovato online conteneva oltre 419 milioni di record su diversi database riguardante gli utenti di aree geografiche, inclusi 133 milioni di record su utenti di Facebook con sede negli Stati Uniti, 18 milioni di record di utenti nel Regno Unito e un altro con oltre 50 milioni di record sugli utenti in Vietnam.
Ma poiché il server non era protetto con una password, chiunque poteva trovare e accedere al database. Ogni record conteneva un ID Facebook univoco dell’utente e il numero di telefono elencato sull’account. L’ID Facebook di un utente è in genere un numero lungo, univoco e pubblico associato al proprio account, che può essere facilmente utilizzato per discernere il nome utente di un account.
Facebook, ecco l’ennesimo problema di dati rubati
Ma i numeri di telefono non sono pubblici da oltre un anno. Specificamente, da quando Facebook ha limitato l’accesso ai numeri di telefono degli utenti. Alcuni dei record avevano anche il nome, il sesso e la posizione dell’utente per paese.
Questo è solo l’ultima notizia riguardante la sicurezza che coinvolge i dati di Facebook dopo una serie di incidenti dopo lo scandalo Cambridge Analytica. Quest’ultimo ha visto oltre 80 milioni di profili cancellati per aiutare a identificare gli elettori swing nelle elezioni presidenziali statunitensi del 2016.
Quest’ultimo incidente ha rivelato milioni di numeri di telefono degli utenti solo dai loro ID di Facebook, mettendoli a rischio di chiamate spam e attacchi di scambio SIM. Con il numero di telefono di qualcun altro, un utente malintenzionato può reimpostare forzatamente la password su qualsiasi account Internet associato a quel numero.
Sanyam Jain, un ricercatore di sicurezza e membro della GDI Foundation, ha trovato il database e contattato TechCrunch dopo che non è stato in grado di trovare il proprietario. Tuttavia, dopo aver contattato l’host web, il database è stato disconnesso.
Jain ha detto di aver trovato profili con numeri di telefono associati a diverse celebrità. Il portavoce di Facebook Jay Nancarrow ha affermato che i dati sono stati cancellati prima che Facebook interrompesse l’accesso ai numeri di telefono degli utenti. “Questo set di dati è obsoleto e sembra che le informazioni siano state ottenute prima di apportare modifiche l’anno scorso”, ha detto il portavoce.
Quest’ultima esposizione di dati è l’esempio più recente di dati archiviati online e pubblicamente senza password. Sebbene siano spesso legate a errori umani piuttosto che a una violazione dolosa, le esposizioni ai dati rappresentano comunque un problema di sicurezza emergente.