Facebook, bug nel “Visualizza come ” , maxi multa da 251 milioni a Meta

Un bug nella funzione “Visualizza come” di Facebook. L’autorità irlandese per la protezione dei dati (Dpc) ha multato Meta per 251 milioni di euro. La decisione, annunciata nella mattinata di martedì 17 dicembre, riguarda una presunta violazione dei dati avvenuta nel 2018 attraverso la piattaforma, quando una falla nel sistema avrebbe permesso l’accesso non autorizzato ai profili di 29 milioni di utenti nel mondo, di cui 3 milioni probabilmente in Europa.

La violazione avrebbe esposto informazioni riservate come religione, orientamento politico, dati personali e post privati degli utenti. Per Meta (proprietaria anche di Whatsapp e Instagram) è un altro colpo in un 2024 già segnato da pesanti sanzioni nel Vecchio continente: a settembre 91 milioni dalle autorità irlandesi per un problema con le password degli utenti, a novembre 800 milioni dalla Commissione europea, a giugno 3,5 milioni dall’autorità italiana per la privacy. L’azienda è inoltre sotto indagine in Italia per una presunta evasione fiscale da 887 milioni di euro.

La vulnerabilità del sistema

L’attacco avrebbe sfruttato una vulnerabilità legata alla funzione “Visualizza come“, introdotta da Facebook a luglio 2017 per permettere agli utenti di vedere come appariva il proprio profilo agli altri. Mentre si utilizzava questa funzione, secondo l’authority irlandese sarebbe stato possibile accedere anche al sistema di Facebook per creare video di auguri di compleanno (chiamato “Happy Birthday Composer”). La combinazione di questi due strumenti avrebbe prodotto un errore, portando il sistema a creare un codice di accesso in grado di fornire il controllo completo del profilo che si stava visualizzando.

Tra il 14 e il 28 settembre 2018, un numero non specificato di persone non autorizzate avrebbero utilizzato programmi per raccogliere automaticamente i dati da un totale di 29 milioni di profili Facebook nel mondo. Questi utenti, con ogni probabilità malintenzionati, avrebbero così avuto accesso a nomi, email, numeri di telefono, indirizzi, luoghi di lavoro, date di nascita, religione, orientamento politico, post personali e dati di minori. Facebook, secondo la ricostruzione, avrebbe individuato l’attacco dopo aver notato un aumento anomalo di video caricati sulla piattaforma. Ha La funzione sarebbe stata, quindi, disattivata. Ma troppo tardi: i dati erano già stati sottratti.

Le sanzioni e le violazioni

L’autorità irlandese ha multato Meta per quattro diverse violazioni del regolamento europeo sulla privacy, il noto GDPR. La multa più alta, 130 milioni di euro, riguarda un errore di metodo: Facebook non aveva inserito le protezioni necessarie nel momento in cui ha creato le nuove funzioni. Altri 110 milioni sono stati comminati perché il sistema raccoglieva più dati del necessario dagli utenti.

Le altre due sanzioni riguardano il comportamento di Meta dopo la scoperta dell’attacco. L’azienda dovrà pagare 8 milioni di euro per non aver comunicato all’autorità tutte le informazioni sulla violazione. Altri 3 milioni sono stati aggiunti perché non ha documentato in modo completo come è avvenuto l’attacco e quali misure sono state prese per risolverlo.

La portavoce di Meta Emily Westcott ha difeso l’operato dell’azienda: “Abbiamo intrapreso azioni immediate per risolvere il problema non appena è stato identificato” ha dichiarato. Ma secondo il vice commissario dell’autorità irlandese Graham Doyle, la gravità della violazione starebbe nei dati esposti: si tratterebbe di “informazioni su credenze religiose o politiche, vita sessuale o orientamento, che un utente potrebbe voler divulgare solo in particolari circostanze”. E che in diverse aree del mondo possono causare non pochi problemi.

Prima di emettere la sanzione, l’autorità irlandese ha consultato tutti gli altri organi di controllo europei, come previsto dalle procedure del regolamento privacy. A differenza di casi precedenti, nessuna autorità ha sollevato obiezioni alla decisione e alla dimensione della multa. I commissari Des Hogan e Dale Sunderland hanno anche ordinato a Meta di modificare le proprie procedure di sviluppo per garantire che la protezione dei dati sia integrata fin dall’inizio nella progettazione di nuove funzioni. L’azienda dovrà inoltre migliorare il modo in cui documenta e segnala eventuali violazioni future, fornendo alle autorità informazioni più complete e verificabili.