Più un network cresce, più è probabile che all’interno della complessità del sistema si formino delle “crepe”. Talvolta si tratta di falle piuttosto grosse, ma finché non vengono notate non possono essere sistemate.
Ignorarle e mettere la testa sotto la sabbia se vengono scoperte non è una buona idea. Eppure, quando un ricercatore chiamato Suriya Prakash ha notificato a Facebook di aver trovato un difetto nella ricerca nuovi contatti che gli consentiva di scoprire il numero di telefono della maggior parte degli utenti del social network, è stato ignorato per settimane.
Quello che Facebook ha ammesso di fronte alla stampa è di aver tamponato il buco quasi immediatamente (confermando implicitamente che il metodo funzionava), ma Prakash sostiene il contrario, ed ha pubblicato su PrivatePaste una lista di 846 numeri di telefono oscurati, appartenenti a persone reali e verificabili. Questi utenti sono meno di mille, ma il numero di vittime possibili se il “sistema” fosse stato sfruttato a dovere sarebbe oscillato tra il 50% ed il 98% degli account.
Ma come funziona? Facilissimo: scegli un numero di telefono, lo cerchi su Facebook e se l’utente l’ha consentito nei suoi setting di sicurezza il suo profilo sarà visibile, collegando così un nome ed un volto al numero casualmente generato. Se si conosce un po’ la “topografia telefonica” di un paese o di una determinata zona, è persino possibile restringere il campo e cercare un determinato operatore o in certi casi addirittura città e regioni.
Vi sembra laborioso? Per uno studioso di scienze informatiche come Prakash non lo è – tutto si può automatizzare, con un algoritmo che “scava” gli archivi del network usando numeri progressivi. Il numero di utenti che ha effettivamente bloccato la ricerca tramite numero di telefono è piuttosto basso, quasi inesistente.
L’unica difesa che Facebook originariamente possedeva contro l’exploit era di limitare il numero di ricerche da un dato account tramite timer. Prakash ha aggirato anche questo: lo studioso sostiene che la variante mobile di Facebook non ha limiti di sorta – il social network contesta questo fatto, e di sicuro ADESSO i limiti ci sono.
Il comportamento di Facebook non è stato ottimo nei riguardi di questa minaccia. C’è un carteggio di mail tra Prakash ed il network: la falla è stata presa sottogamba. Al momento la raccolta sistematica di queste informazioni è considerata dagli algoritmi di sicurezza come un’attività sospetta che porta all’immediata sospensione dell’account – meglio tardi che mai.
In ogni caso consiglio a tutti di andare nei setting della privacy di Facebook e di mettere il numero telefonico come visibile solo agli amici, e di limitare chi lo può cercare sotto ai setting “Connessione da parte tua”. Troverete la voce, “Chi può cercarti utilizzando l’indirizzo e-mail o il numero di telefono che hai fornito?”. Dovete limitarla agli amici o amici di amici se non volete che chiunque riesca a collegare il vostro numero di telefono alla vostra faccia.
È particolarmente seccante che non si possa scindere il setting tra mail e numero di telefono, ma ho sempre accusato la gestione della privacy di Facebook di essere particolarmente farraginosa e controintuitiva!
