Facebook sta ancora subendo l’impatto politico della fuga dei 533 milioni di dati utente emersa due settimane fa ed ecco che nel mezzo della crisi compare un altro problema: un tool noto come Facebook Email Search V1.0 permetterebbe di incrociare facilmente gli indirizzi email agli account del social.
Si tratta di una funzione che, su carta, potrebbe sembrare innocua, magari pensata per coloro che vogliono capire a quale amico apparteneva il criptico contatto di “sanosukesagara88”, tuttavia lo strumento diviene evidentemente insidioso non appena lo si vede nell’ottica dello scraping selvaggio che colpisce i portali internettiani.
Una volta comprata una lista di contatti dal dark web, basta infatti passare il file all’interno del software per ottenere una mole di dati potenzialmente interessante e su scala massiva. Il programma, d’altronde, si presta bene per gestire i grandi numeri e riesce a processare fino a 5 milioni di indirizzi email al giorno.
Il ricercatore che è incappato in questa criticità – il quale ha voluto rimanere anonimo – ha cercato di contattare la Big Tech, ma sarebbe stato liquidato in quanto una simile debolezza del sistema non sarebbe stata considerata abbastanza “importante” da giustificare un intervento.
Frustrato, il personaggio ha quindi creato un video in cui dimostrava l’insidiosa efficacia di un simile sistema, evidenziandone pubblicamente la pericolosità. Complice l’interesse di alcune testate specializzate ed ecco che il social ha deciso di rivedere le sua posizione.
Sembra che abbiamo chiuso per errore la segnalazione di questo bug bounty prima di girarla al team appropriato. Apprezziamo che il ricercatore abbia condiviso le informazioni e stiamo prendendo azioni iniziali per mitigare questo problema, nel frattempo stiamo continuando a indagare per comprendere meglio la situazione,
ha scritto l’azienda in uno statement.
Di recente, Facebook ha dimostrato di essere più interessata a normalizzare il problema delle leak che a gestirlo, con i responsabili delle relazioni pubbliche che sono stati istruiti per ricordare al pubblico in maniera martellante come le fughe di dati siano condivise anche con altri colossi del settore.
Potrebbe anche interessarti:
- Brace yourselves. Facebook has a new mega-leak on its hands (arstechnica.com)