Password non protette per anni: Facebook ha violato il Gdpr?

tratto da WIRED.IT
di Luca Zorloni 22 Mar, 2019

L’Irlanda indaga sul social network per capire se ci sono utenti europei coinvolti nell’ultimo scandalo privacy. Il rischio di violazione dell’articolo 33

Le indagini sono già in corso. Le guida la Data protection commission irlandese, l’autorità nazionale responsabile della tutela dei dati personali, visto che la sede europea di Facebook è a Dublino. Obiettivo: fare luce sul perché per anni le password di centinaia di milioni di iscritti al social network non sono state conservate con le dovute protezioni. E scoprire se utenti europei sono rimasti invischiati nell’incidente. Per il social network si configura una violazione del regolamento europeo per la protezione dei dati personali (Gdpr). Facebook ha fallito, per sua stessa ammissione, nella protezione delle password, che devono essere coperte da cifratura, contemplata dall’articolo 32.

Come Wired ha potuto appurare consultando fonti del Garante europeo per la protezione dei dati (Edps), che sta monitorando gli sviluppi del caso, si profilano altre due violazioni. La prima, che sembra più certa, è il mancato rispetto dell’articolo 33 del Gdpr. Facebook avrebbe violato le norme di sicurezza, perché le password dovrebbero essere criptate, mentre quelle di milioni di utenti (tra 200 milioni e 600 milioni, secondo quanto riferito dal giornalista Brian Krebs) erano archiviate in chiaro su file di testo.

E almeno duemila dipendenti del social network, tra sviluppatori e ingegneri, avrebbero avuto accesso almeno 9 milioni di volte a queste informazioni.

La tesi dell’azienda è che l’incidente non viola il Gdpr e non doveva essere notificato entro 72 ore, perché non c’è stata una fuga di dati all’esterno. Tuttavia l’opinione del garante europeo è diversa. È vero che questa violazione non deve essere comunicata alle autorità entro tre giorni. Però Facebook avrebbe dovuto avvertire immediatamente gli utenti colpiti, perché cambiassero la chiave di accesso. Cosa che non ha fatto, visto che il social network ha ammesso la violazione solo il 21 marzo, dopo aver scoperto le password in chiaro a gennaio. E già questo è un punto a sfavore di Facebook.

La seconda violazione riguarda ancora l’articolo 32 del Gdpr, quello sulla violazione dei dati personali. E nello specifico l’uso improprio dei dati non coperti. Al momento le fonti del garante europeo escludono questa opzione sulla base delle dichiarazioni dell’azienda, che ha affermato che le password non sono state spiate dall’esterno né utilizzate dai dipendenti per entrare nei profili degli iscritti. Ma per ora non ci sono altri riscontri oltre alla parola del social network, la cui credibilità sulla difesa della privacy è ai minimi storici.

La password può essere considerata un dato personale, poiché identifica il soggetto che accede a un determinato account, perciò se un dipendente si fosse intrufolato in un profilo, Facebook sarebbe perseguibile.

Il social network ha dichiarato che le chiavi archiviate senza protezione (con tecniche di crittografia hash, salt e scrypt) appartengono a “centinaia di milioni di utenti di Facebook Lite, decine di milioni di altri utenti di Facebook e decine di migliaia di iscritti a Instagram”. Facebook Lite, una versione del social network adoperata in zone con poca connessione, è diffusa anche in Europa e dal 2017 è disponibile sul mercato italiano.

A guidare le indagini in Europa è l’autorità irlandese, che ha confermato ispezioni in corso. Interpellato da Wired, il Garante della privacy italiano ha spiegato di non aver ancora ricevuto dai colleghi di Dublino informazioni circa un coinvolgimento di utenti del Belpaese. Tramite Twitter Ivo Tarantino, portavoce di Altroconsumo, ha annunciato che l’associazione di consumatori, che dopo lo scandalo Cambridge Analytica ha promosso una class action con 70mila aderenti in Italia contro il social network, si muoverà per censire gli italiani coinvolti e ottenere interventi di riparazione.

Facebook al momento non rilascia dichiarazioni sulla distribuzione dell’incidente, attenendosi agli scarni dati del comunicato ufficiale. Ma negli uffici dei regolatori europei c’è fibrillazione e l’autorità tedesca, a quanto risulta a Wired, ha già sollecitato risposte da Dublino. Se le violazioni fossero confermate, Facebook sarebbe il secondo gigante del web colpito dal Gdpr, dopo la multa di 50 milioni inflitta dal garante francese a Google.

[articolo aggiornato alle ore 18.22 con le dichiarazioni di Altroconsumo]


2019-03-24T20:53:55+00:00 24 Marzo, 2019|Press|