Cosa dovresti fare dopo la più grande violazione nella storia di Facebook
La scorsa settimana Facebook ha annunciato che il più ampio social network del mondo ha identificato “una problematica di sicurezza che ha interessato quasi 50 milioni di account.” Una vulnerabilità esistente dal giugno 2017 ha permesso agli hacker di sfruttare la funzione “Visualizza come”. Questa violazione potrebbe consentire ai criminali di “rubare i token di accesso di Facebook che possono quindi essere usati per controllare gli account delle persone.”
In altre parole, 50 milioni di account, circa il 2 percento della base utenti del sito, potrebbe aver subito facilmente una violazione, e alcuni sicuramente sono stati violati. Facebook non ha ancora rilasciato un resoconto completo del data breach. Ma è chiaramente il più grande nella storia del sito.
Facebook ha effettuato il log out dei 50 milioni di utenti colpiti dai loro account, insieme ad altri 40 milioni di account che hanno effettuato l’accesso utilizzando la funzione “Visualizza come” nell’ultimo anno. Quando questi utenti effettuano nuovamente il login, una notifica informa sul perchè Facebook ha resettato il token di accesso.
Sia se sei stato colpito sia no, per tutti i 2,3 miliardi di utenti attivi di Facebook adesso è proprio il momento di essere certi di mettere in atto alcune precauzioni di sicurezza.
Proteggi il tuo account Facebook
- Cambia la tua password di Facebook.
Per farlo sul PC, effettua il login nel tuo account, clicca sulla freccia nell’angolo in alto a destra quindi vai su “Impostazioni”>”Protezione e accesso”>Modifica password. Usa una password robusta e univoca. - Effettua il logout dal tuo account su qualsiasi dispositivo o browser su cui hai fatto il login.
Questo si trova sulla stessa pagina “Impostazioni” >”Protezione e accesso” sotto “Dove hai effettuato l’accesso”. - Imposta l’autenticazione a due fattori.
Sulla stessa pagina “Impostazioni” >”Protezione e accesso”, clicca “Usa l’autenticazione a due fattori”. Accendila e gli esperti F-Secure suggeriscono di usare un’app di autenticazione. - Imposta avvisi per “accessi non risconosciuti”.
Anche questo si trova nella pagina “Impostazioni” >”Protezione e accesso” sotto “Ricevi avvisi sugli accessi non riconosciuti”. - Per una maggiore privacy, spegni App, siti web e giochi.
Questo limita considerevolmente quello che puoi fare su Facebook, ma rende anche molto meno probabile che i tuoi dati vengano condivisi con terze parti. Puoi farlo su “Impostazioni” > “App e siti web” > sotto “App, siti web e giochi”, clicca “Modifica”.
Come si estende oltre Facebook
Tutte queste best practice per proteggere i tuoi account Facebook sono importanti, ma non ti avrebbero protetto da questa violazione. Questo perchè la comodità offerta agli utenti dai “token di accesso” potrebbe essere sfruttata come vulnerabilità.
“I ‘token di accesso’ esposti sono una forma alternativa di autenticazione, che gli utenti possono generare per ‘applicazioni’ per accedere ai tuoi dati,” afferma William Knowles, consulente di MWR – una società F-Secure. “Questi token di accesso di solito non richiedono autenticazione multi-fattore perchè vengono tipicamente gestiti da queste applicazioni senza il coinvolgimento umano.”
Con i “token di accesso,” gli hacker hanno accesso limitato alle informazioni private degli utenti – e non solo su Facebook. “Questo era un meccanismo affidabile di Facebook che è stato compromesso, potrebbe essere stato automaticamente garantito un alto livello di accesso ai dati degli utenti,” spiega William.
Gli hacker potrebbero aver ottenuto l’accesso a una varietà di siti che usano il token di accesso di Facebook per il login, compresi Instagram, Tinder e Airbnb.
“Le indagini non hanno rilevato praticamente alcuna evidenza che gli attaccanti hanno avuto accesso ad app utilizzando Facebook Login,” ha riportato Facebook in un secondo aggiornamento.
Dovresti effettuare il login in altri siti usando Facebook?
Puoi verificare tutti i siti in cui usi il tuo account Facebook per effettuare il login andando su “Impostazioni” > “App e siti web” > sotto “App e siti web attivi”.
Come misura di sicurezza, un servizio “single sign-on” come Facebook (o Google) è meglio che una password debole o password usate su più siti differenti. La sicurezza del login è difficile su device, app e browser multipli. Facebook investe molto di più sulla protezione dei servizi di login di quanto non sia in grado di fare un piccolo fornitore. Se hai una password di Facebook robusta, puoi anche usare il login all’esterno.
“Questo è il lato positivo di un servizio single sign-on,” dice Sean Sullivan, F-Secure Security Advisor.
Il lato negativo è che c’è un single point of failure – un concetto evidenziato dal recente caso di Facebook.
Se hai una buona gestione delle password, preferisci non usare il “single sign-on”, in particolare con più account critici legati ad informazioni finanziarie.
“Ci sono anche casi in cui il fornitore del single sign-on aggiunge valore, come i social game,” dice Sean. “Quindi le persone dovrebbero considerarlo e fare una scelta informata.”
La privacy è importante
William ha apprezzato il programma bug bounty di Facebook, una best practice del settore di coinvolgere la community allargata di sicurezza per aiutare a ridurre la superficie d’attacco dei siti online.
“Questi schemi, comunque, dovrebbero anche andare di pari passo con le attività tradizionali di sicurezza, come avere validazioni chiuse – quali assessment tecnici – a stadi differenti del ciclo di vita dello sviluppo, per minimizzare la probabilità di vulnerabilità ad alto impatto sui sistemi di produzione.”
Questa violazione è anche notevole perchè è una delle più ampie che è stata annunciata dopo l’entrata in vigore del GDPR.
“Facebook potenzialmente affronta una contravvenzione enorma come risultato del data breach, ma qualsiasi decisione prenderà in considerazione il suo impegno nell’identificare e fissare qualsiasi vulnerabilità prima che impatta gli utenti finali,” aggiunge William. “E’ anche importante ripeterlo in questa fase, Facebook non ha ancora confermato l’estensione dei dati esposti in seguito alle vulnerabilità.”
Dovresti sempre prendere le precauzioni di sicurezza di base ma sappi che è impossibile eliminare tutti i rischi. Quando usi un servizio di terze parti che è gratuito – comprese webmail come Gmail – dovresti dare per scontato che a nessuno importa della sicurezza più di te.
Potresti considerare di tenere qualsiasi cosa davvero privata, comprese informazioni interenti il tuo lavoro, comunicazioni sensibili o foto che non vorresti mai rendere pubbliche, fuori da Facebook o qualsiasi servizio in cui non stai pagando per proteggere i tuoi dati.
Categorie