Google ha deciso di chiudere Google+, il social media service che ha lanciato nel 2011 e che veramente poche persone al mondo usavano. Google ha annunciato la cosa lo stesso giorno in cui il _Wall Street Journal_ ha pubblicato un articolo su un bug nel poco popolare social che permetteva a sviluppatori esterni di accedere ai dati privati degli utenti. Stando al _Wall Street Journal_, [Google ha scoperto la falla a marzo 2018](https://www.wsj.com/articles/google-exposed-user-data-feared-repercussions-of-disclosing-to-public-1539017194), ma l'ha risolta in sordina e deciso di non dire niente a nessuno per paura di un ritorno di fiamma burocratico.

La scoperta è avvenuta durante un'asta di sicurezza dell'API a marzo. "Finire sotto i riflettori insieme se non al posto di Facebook nonostante lo sforzo di restare sotto radar per tutto lo scandalo Cambridge Analytica &#x2014; significa quasi per certo che \[Sundar Pichai, CEO di Google\] testimonierà davanti al Congresso," recitava un memo interno ottenuto dal _Wall Street Journal_. Pichai era al corrente del piano di non dire agli utenti della falla.

Dal 2015 a marzo 2018, 438 sviluppatori esterni hanno avuto accesso ai profili di più di 500.000 utenti Google. Gli sviluppatori avrebbero avuto via libera ai nomi interi degli utenti, indirizzi email, genere sessuale, foto del profilo, condizione lavorativa, posizione e data di nascita. "Non abbiamo trovato prove del fatto che qualcuno fosse al corrente di questo bug, o che stesse abusando dell'API, e non abbiamo trovato riscontro che qualsiasi dato sia stato usato nel modo sbagliato," [ha fatto sapere Google in una dichiarazione pubblicata dopo l'articolo del _Wall Street Journal_](https://www.blog.google/technology/safety-security/project-strobe/). Nel blog post è stata confermata la chiusura di Google+ e sono stati forniti ulteriori dettagli sul bug (ma non sul tentativo di insabbiamento).

Venerdì, Facebook ha rivelato che un gruppo di hacker è riuscito a entrare nei server dell'azienda, impadronendosi — potenzialmente — dei dati di 50 milioni di utenti. <a href="https://newsroom.fb.com/news/2018/09/security-update/" target="_blank">Nel post</a>, Guy Rosen, vice presidente del product management di Facebook, ha dichiarato che il team di ingegneri dell'azienda "ha scoperto un problema di sicurezza che riguardava almeno 50 milioni di utenti. "È chiaro che gli hacker hanno sfruttato una vulnerabilità nel codice di Facebook che agiva sulla modalità '<a href="https://www.facebook.com/help/288066747875915?helpref=faq_content" target="_blank">Vedi come,</a>' che permette alle persone di vedere un'anteprima esterna del proprio profilo," ha scritto Rosen. "Questo ha permesso loro di rubare i token di accesso a Facebook che hanno poi usato per prendere possesso degli account delle persone." La vulnerabilità era il risultato di tre bug distinti ed è stata introdotta a luglio 2017," ha detto Rosen ai giornalisti durante una conferenza stampa. "È importante chiarire che gli hacker potrebbero usare l'account come se fossero i legittimi proprietari."La vulnerabilità — che colpirebbe circa il 2,5 percento dei 2 miliardi di utenti totali di Facebook — è stata aggiustata e Facebook sta collaborando con l'FBI, ha detto Rosen. "Abbiamo messo una patch la scorsa notte e preso misure di sicurezza per chi potrebbe essere stato colpito," ha detto il CEO Mark Zuckerberg in una conferenza con i giornalisti. Ma cosa è successo e come, esattamente?Il social network ha forzato 90 milioni di persone — le 50 milioni di vittime previste e altri 40 milioni che potrebbero essere stati colpiti, stando all'azienda — a fare log out e di nuovo log in. Questo perché gli hacker hanno rubato i loro "token di accesso," una sorta di chiave digitale che Facebook crea quando fai log in e che ti permette di rimanere connesso quando la app per mobile di Facebook vuole aprire un'altra parte di Facebook dentro a un browser, per esempio (pensate a quando cliccate un link). "È importante chiarire che gli hacker potrebbero usare l'account come se fossero i legittimi proprietari." Un token di accesso non include la password dell'utente, ma dato che permette a una persona di rimanere loggata, avere un token di accesso significa che puoi controllare completamente l'account. "Parti del nostro sito usano un meccanismo chiamato single sign-on, che crea un nuovo token," ha spiegato sempre Rosen ai giornalisti. "Ecco come funziona: diciamo che sono loggato nella app di Facebook e che questa vuole aprire un'altra parte di Facebook in un browser; ciò che fa è usare quella funzione di single sign-on per generare un token di accesso per quel browser — il che significa che non devi fare login di nuovo in quella finestra." Gli hacker hanno approfittato di tre vulnerabilità distinte ma collegate tra loro in ordine, per rubare i token, ha detto Rosen. Le vulnerabilità esistono da almeno luglio 2017 e riguardano il "Vedi come", un tool di privacy che — se non lo avete mai usato — è difficile immaginare a cosa serva. In pratica, ti permette di capire se il tuo ex, tua nonna o chiunque tu voglia tenere all'oscuro di certi contenuti, possa o meno vederli sulla tua pagina.) Se vuoi, diciamo, nascondere alcuni post dal tuo arci-nemico Ugo, puoi cambiare le impostazioni della privacy in modo da permettere a quella persona di vedere solo certe cose. Poi, per controllare che funzioni, puoi usare il "Vedi come" e guardare il tuo stesso profilo come se fossi Ugo. Non sei effettivamente Ugo e non hai accesso al suo account. È solo una simulazione. Ma queste catene di bug ti avrebbero permesso, se fossi un hacker, di acquisire il token di accesso di Ugo e poi fare login nel suo account usando quel token, e da lì prendere controllo su tutto.Il primo bug, ha spiegato Rosen, faceva sì che comparisse un video uploader sulle pagine "Vedi come" "su certi tipi di post, incoraggiando le persone a pubblicare auguri di buon compleanno. Normalmente, il video uploader non sarebbe dovuto apparire. Il secondo bug, faceva sì che questo video uploader generasse un token di accesso che aveva il permesso di fare login nella app mobile di Facebook, che non è il modo in cui questa feature "dovrebbe essere usata," stando a Rosen. L'ultimo bug, ha spiegato Rosen, stava nel fatto che quando il video uploader appariva come parte della modalità Vedi come, generava anche un token di accesso non per l'utente, ma per la persona che fingevano di essere — essenzialmente dando a chi stava usando il "Vedi come" le chiavi di accesso all'account della persona che stavano simulando. Nell'esempio fatto poco fa, questo non solo ti avrebbe permesso di guardare il profilo di Ugo usando il "Vedi come" Ugo, ma avrebbe anche generato un token di accesso permettendoti di loggarti e prendere possesso dell'account di Ugo."Non sappiamo esattamente come gli account siano stati abusati finora." "È stata la combinazione di questi tre bug che è diventata una vera vulnerabilità. E gli hacker l'hanno scoperto," ha detto Rosen. "Questo gruppo, per poter sferrare l'attacco, aveva bisogno non solo di trovare la vulnerabilità, ma anche di mettere le mani su un token e poi usarlo come perno su altri account e infine cercare altri utenti e ottenere ulteriori token di accesso." Rosen ha detto di credere che si tratti di un attacco relativamente sofisticato, specialmente considerato l'impatto su 50 milioni di diversi login: "È un'interazione complessa di molteplici bug contemporanei," ha detto."Abbiamo notato l'attacco usato su una scala abbastanza ampia, ed è così che abbiamo scoperto il problema e iniziato la nostra indagine, per scoprire cosa stava effettivamente succedendo," ha detto Rosen. "Non sappiamo esattamente come gli account siano stati abusati finora." Ryan Stortz, ricercatore in sicurezza a Trail of Bits, ha detto a Motherboard che Facebook avrebbe dovuto avere le capacità per trovare questi bug prima degli hacker. "Facebook ha un intero filtro API che avrebbe dovuto notarlo," ha detto Stortz a Motherboard in una chat online. "Non so quale fosse il difetto, ma se sono riusciti a entrare nell'account di Zuck è un brutto guaio e dovrebbero aver avuto un filtro per prevenire la cosa a priori." Ma un ex ingegnere della sicurezza di Facebook ha detto che non era un bug facile da trovare. "Sembra la scoperta del secolo, il codice del 'Vedi come' è in giro da parecchio e non mi sorprende che avesse dei bug," ha detto a Motherboard Zac Morris, che ha lavorato nella divisione sicurezza di Facebook dal 2012 al 2016. "Ma usarlo come perno per accedere ai token è una roba piuttosto impressionante."Morris ha aggiunto che "come persona colpita, sono più che altro interessato a sapere chi e perché l'ha fatto, [perché] è una cosa per cui puoi portarti a casa una ricompensa sì e no da 30.000 dollari se la denunci all'azienda, per cui devono aver avuto un motivo migliore per monetizzare l'attacco — il che mi fa paura." Rosen ha detto che gli hacker non hanno rubato le password, per cui a meno che non vi abbiano forzati a fare log out, non dovreste essere tra le vittime e gli utenti non devono cambiare le password. Facebook ha detto di aver disabilitato temporaneamente il "Vedi come."Zuckerberg ha detto che chi è stato colpito dall'hack riceverà una notifica in cima al news feed. "E un problema di sicurezza molto serio, e lo stiamo trattando con massima serietà," <a href="https://motherboard.vice.com/en_us/article/mbw3zb/facebook-hacked-50-million-users-affected" target="_blank">ha ribadito</a> il CEO.Questo articolo è apparso originariamente su Motherboard US.

vice

Motherboard

Facebook

Tecnologia

50 milioni di utenti Facebook sono stati hackerati — ecco come è successo

Internet Insecurity

Hacking

Mark Zuckerberg

privacy

facebook hackerato

50 milioni di utenti di facebook colpiti da hack

facebook vedi come

Tech

"La versione consumer di Google+ ha al momento un basso livello di utilizzo e di interazione: il 90 percento delle sessioni utente di Google+ dura meno di cinque secondi," ha detto Google in un comunicato, confermando la sensazione che Google+ resti a prescindere molto impopolare.

La notizia è solo l'ultima in una serie di scandali di sicurezza di alto profilo che sta sconvolgendo Silicon Valley. Alla fine di settembre, Facebook ha annunciato che [alcuni hacker avevano rubato i dati di oltre 50 milioni di utenti del social](https://motherboard.vice.com/it/article/bja7qq/hack-facebook-50-milioni-utenti-colpiti-bug-tool-vedi-come). Ma prima che la storia si diffondesse, Pichai aveva già accettato di testimoniare davanti al Congresso americano dopo [un incontro privato con alcuni senatori del Partito Repubblicano](https://www.usatoday.com/story/tech/2018/09/28/google-ceo-sundar-pichai-testify-before-congress-conservative-bias-charges/1457087002/).

_Questo articolo è apparso originariamente su Motherboard US._

Dite addio al social meno amato della storia.

FYI.

This story is over 5 years old.

Google+ chiude dopo che una falla di sicurezza ha messo a rischio migliaia di utenti

50 milioni di utenti Facebook sono stati hackerati — ecco come è successo