Facebook importa i contatti mail dei propri utenti

Facebook incappa nell'ennesima invasione di privacy ai danni dei propri utenti

Facebook ha richiesto agli utenti le password delle loro mail per poi caricare "involontariamente" 1,5 milioni di elenchi di contatti
Facebook incappa nell'ennesima invasione di privacy ai danni dei propri utenti FASTWEB S.p.A.

All'inizio del mese Facebook ha chiesto ad alcuni utenti, che hanno effettuato registrazione da desktop, di utilizzare indirizzi mail che non supportano lo standard OAuth per farsi dare le password ai loro account mail, con l'opzione di non tenere nascosto il "need help?" nel sotto-menu.
Il gigante dei social media ha quindi poi ammesso di aver "involontariamente" caricato gli elenchi di contatti per un massimo di 1,5 milioni di quegli account di posta elettronica su Facebook, senza il consenso dei loro proprietari.

Bennett Cyphers, esperto di sicurezza della Electronic Frontier Foundation, ha dichiarato a Business Insider, all'inizio di questo mese, che chiedere agli utenti di consegnare le credenziali del proprio account come parte di un processo di registrazione è "praticamente indistinguibile da un attacco phishing".

Secondo un rapporto di mercoledì su Business Insider, Facebook ha detto che estraeva automaticamente elenchi di contatti da circa 1,5 milioni di account di posta elettronica, account dai quali gli era stato concesso l'accesso attraverso questa modalità, senza però mai chiederne l'autorizzazione. E questo è effettivamente il tipo di cosa che ci si aspetterebbe di vedere in un attacco di phishing.

Facebook ha comunicato a Gizmodo via mail, che nel maggio 2016 è stata effettuata una revisione del processo di registrazione, il quale originariamente chiedeva agli utenti coinvolti il permesso di caricare gli elenchi dei contatti.

Questo cambiamento ha eliminato il prompt di opt-in, nonostante la società non si fosse effettivamente resa conto che la funzionalità in oggetto era ancora operativa e attiva in determinati casi.

Da quanto visto, si evince che l'unico modo in cui un utente potrebbe essersi accorto di questa attività prima dell'attivazione dell'account sarebbe nel momento in cui dovesse aver notato una particolare finestra a scomparsa che indica che Facebook stia "importando i contatti".

Facebook, a sua discolpa, afferma di non aver mai visto il contenuto di alcuna mail, da quanto riportato da Business Insider.

Un portavoce ha comunicato a Gizmodo telefonicamente all'inizio di questo mese che "l'intento di questa opzione era semplicemente quello di confermare gli account". Tuttavia, Facebook ha confermato a Gizmodo mercoledì che le informazioni di contatto sono state utilizzate per i suggerimenti degli amici (per intenderci, la funzionalità "persone che potresti conoscere") e per migliorare gli annunci pubblicitari (insomma per scopi pubblicitari mirati).

Un portavoce di Facebook ha anche dichiarato a Gizmodo che non era disponibile. uno screenshot del prompt di attivazione originale.

In una dichiarazione, la società ha scritto che avrebbe mandato una notifica agli 1,5 milioni di utenti interessati, oltre poi a eliminare eventuali contatti ottenuti senza la loro conoscenza o il loro consenso: "All'inizio di questo mese abbiamo smesso di offrire la verifica della password tramite mail come opzione per coloro che verificano il loro account per la prima registrazione su Facebook. Quando abbiamo esaminato i passaggi che le persone stavano effettuando per verificare i loro account, abbiamo scoperto che in alcuni casi i contatti di posta elettronica delle persone venivano caricati involontariamente su Facebook nel momento in cui veniva creato il loro account. Stimiamo che potrebbero essere stati caricati fino a 1,5 milioni di contatt. Questi contatti però non sono stati condivisi con nessuno e li stiamo eliminando. Abbiamo risolto il problema e stiamo informando le persone i cui contatti sono stati importati. Le persone possono anche rivedere e gestire i contatti che condividono con Facebook all'interno della sezione impostazioni."

In particolare, il Daily Beast ha confermato che ad alcuni utenti veniva chiesto di fornire le password della propria mail "utilizzando un indirizzo web e connettendosi attraverso una VPN in Romania." La Romania è uno stato membro dell'Unione Europea, che ha implementato le condizioni generali di Privacy dei dati. Regolamento che richiede il consenso esplicito, libero e informato per elaborare i dati personali, in vigore dallo scorso anno.

Questa è ormai l'ennesima volta in cui Facebook ha scoperto di aver fatto qualcosa che i suoi utenti potrebbero non apprezzare. Infatti tra le ultime controversie riguardo la società, è stato incluso l'uso dell'autenticazione a due fattori come pretesto per ottenere numeri di telefono per le notifiche e per inviare pubblicità mirata, utilizzando app pseudo-VPN per recuperare una vasta gamma di informazioni sulle abitudini mobili dell'utente, col semplice offuscamento di messaggi di richiesta di chiamata e attraverso la memorizzazione di password in plaintext.

18 aprile 2019

Fonte: gizmodo.com
Condividi
Ebook
Sicurezza in Rete: ne sai abbastanza?
Strumenti utili, suggerimenti pratici e tutto quello che devi assolutamente sapere per proteggere davvero i tuoi dispositivi e i tuoi dati personali quando sei connesso
scarica l'ebook

Iscriviti alla
newsletter del
Digital Magazine di
Fastweb

Riceverai ogni settimana le notizie più interessanti sul mondo della tecnologia!
Iscriviti

Grazie per esserti iscritto!

Abbiamo inviato una mail all'indirizzo che hai indicato: per completare l'iscrizione alla newsletter del Digital Magazine di FASTWEB clicca sul link all'interno della mail