FaceBook, data breach da 50 milioni di utenti

Giunge notizia di un data breach ai danni di FaceBook; sul blog ufficiale viene dichiarato che multiple vulnerabilità relative alla funzione “view as” hanno consentito, a sconosciuti, di rubare gli “access token” di circa 50 milioni di utenti.

Un access token si potrebbe paragonare ad un “gettone di ingresso” che viene consegnato dal server al client quando esegue il log-on, e che gli consente di rimanere “loggato” senza dover ripresentare continuamente le credenziali di accesso.

Avendo a disposizione il token, soggetti terzi potrebbero aver avuto accesso al profilo e ai dati degli utenti di FaceBook.

Allo stato attuale, non si conoscono esattamente quali informazioni sono state oggetto di data breach, ne la sua estensione; non dovrebbero essere state accessibili le informazioni relative a carte di credito e altri strumenti di pagamento, in quanto risiedevano su sistemi diversi.

Consiglio a tutti gli utenti di Facebook di cambiare immediatamente la loro password (per resettare gli eventuali token ancora “rimasti in piedi”).

Come considerazione finale, sicuramente è molto comodo autenticarsi negli innumerevoli siti e servizi utilizzando la piattaforma di FaceBook (così come quella di Google, Twitter, …) ma ciò comporta accettare un ulteriore livello di rischio, rispetto a gestire le credenziali di autenticazione “in proprio”.

Grande Fratello ed InterNet

In questo periodo di intensa attività, mentre sto preparando il nuovo testo del manuale degli incaricati al trattamento (oops! persone autorizzate al trattamento dei dati personali) mi è capitato di riprendere in mano il mio lavoro di laurea, datato II Millennio DC.

Pensando a quanto recentemente successo con il datagate FaceBook-Cambridge Analytica (e a quanto accade purtroppo giornalmente), ne ho riletto l’introduzione, che mi sembra quanto mai attuale; la sottopongo alla valutazione dei miei quattro abituali navigatori.

Grande Fratello ed InterNet: profilazione on-line degli utenti.

Introduzione
La scelta di un argomento per un lavoro complesso come una tesi è sempre frutto di molteplici riflessioni; dovendosi argomentare di Information Tecnology, mondo in perenne evoluzione esponenziale, diviene particolarmente difficile decidere tra innumerevoli argomentazioni interessanti o di recente attenzione.
Sono stato tolto d’impiccio il mio Relatore Prof. omissis il quale, tra alcune idee sul tavolo, ha optato per trattare della sistematica profilazione degli utenti internet, immagino per una sua (condivisa) sensibilità verso il tema. 
Il mio lavoro di consulente I.T. mi ha portato a confrontarmi con esigenze di tutela di dati personali di soggetti, sia fisici che giuridici, fin dall'anno 1996, quando in Italia venne promulgata la famosa “Legge 31 dicembre 1996, n. 675 - Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali”. 
La scintilla ispiratrice di questo lavoro nasce alcuni mesi fa, durante un seminario di formazione di incaricati al trattamento dei dati personali, da me organizzato per conto di una azienda di servizi della nostra zona; un dipendente, normale fruitore di sistemi informatici, mi chiese: “dovendomi operare ad un ginocchio, ho condotto delle ricerche in internet sulla tipologia di intervento al quale sarei stato sottoposto; perché successivamente, durante la normale navigazione, sto ricevendo delle pubblicità di tutori e cure riabilitative, anche in siti che non c’entrano nulla?”. 
Troppo spesso neo-utenti di internet non si pongono domande come questa, distolti dallo sfavillio dei servizi offerti in rete, dal loro appeal, perché “ci sono tutti”, mentre altri “navigati” utenti “scollegano il cervello”, assuefatti dalla comodità dei servizi o attirati dalla loro presunta gratuità. 
In questo mio impegnativo lavoro di tesi ho non solo la possibilità di dare una risposta alla domanda del mio allievo, ma anche di contribuire a stimolare l’intelletto tecno-assuefatto dei molti che dovrebbero sempre porsi delle domande, prima di fare doppio-click. 
E prima che il Grande Fratello sia anche dentro di noi, oltre che intorno.

Ancora FaceBook non esisteva; sarebbe stato dispiegato solo il 4 febbraio 2004.
Neanche il Grande Fratello del distopico romanzo 1984 avrebbe potuto sognare strumenti migliori, che non solo controllano, ma anche inducono; che ne dite, aspettiamo passivamente altri 20 anni e vediamo quanto diventerà distopico il mondo reale?

Perché è necessario il GDPR in Europa

Lo scandalo colossale relativo alla raccolta illegale di dati personali ad opera di  Cambridge Analytica è emblematico di come sia necessaria una regolamentazione globale per proteggere i dati personali da violazioni ed abusi, specialmente ad opera dei BIG-DATA; il GDPR è un primo passo.

Le persone forniscono ai social informazioni personali, gusti, preferenze, frequentazioni, amicizie, orientamenti sessuali, politici, stati di salute … in pratica la loro intera esistenza, a titolo gratuito. Accettano tutti i disclaimer senza leggere. Vengono profilati con algoritmi da “Grande Fratello” al limite della legalità, anche quando sono collegati con account diversi. 270mila americani hanno scaricato una app (thisisyourdigitallife) e per 1 misero dollaro hanno esposto tutto l’albero dei loro contatti alla acquisizione illegale.

Oggi i social network assomigliano ad un immenso campo di battaglia, dove le persone sono i bersagli e talvolta anche i soldati, forzati tramite campagne pubblicitarie personalizzate verso lo schieramento giusto.

Oggi i vari Governi Nazionali ed i relativi Garanti Privacy si stracciano le vesti; vediamo se tra qualche mese lo scandalo sara finito in una bolla di sapone; qualcuno dice che dopo il 25 maggio cambierà qualcosa; dovremmo sperarlo, per tutti noi ma sopratutto per i nostri figli. Nel frattempo, #deletefacebook.

P.S. ritengo che quanto emerso sino ad oggi, relativo al datagate Cambridge Analytica, sia solo la parte visibile dell’iceberg.