Avete presente quella policy sull’utilizzo dei dati di Facebook, quella che promette che non diffonderà le nostre informazioni personali?
Non condividiamo le tue informazioni personali (le informazioni personali comprendono nome o indirizzo e-mail che è possibile usare per contattarti o identificarti) con i partner pubblicitari, di misurazione o analisi, a meno che tu non ci conceda l’autorizzazione.
Si, beh … molto divertente …
Si è scoperto che fino a poche settimane fa, contro la sua stessa politica, gli strumenti di targeting per gli annunci self-service di Facebook avrebbero potuto mostrare i numeri di cellulare degli utenti dai loro indirizzi e-mail … anche se molto, mooooolto lentamente. Lo stesso bug avrebbe potuto essere utilizzato anche per raccogliere i numeri di telefono di quegli utenti Facebook che visitavano una determinata pagina web.
L’individuazione del bug ha permesso a un gruppo di ricercatori di Stati Uniti, Francia e Germania di ottenere una taglia sul bug di $ 5000. Hanno segnalato il problema alla fine di maggio e Facebook ha risolto la vulnerabilità il 22 dicembre.
Ciò significa che i numeri di telefono avrebbero potuto essere accessibili per almeno sette mesi, anche se Facebook afferma che non ci sono prove che ciò sia accaduto.
I ricercatori hanno descritto in un articolo in che modo hanno utilizzato uno degli strumenti di ad-targeting self-service di Facebook chiamato Custom Audiences per individuare i numeri di telefono delle persone.
Questo strumento consente agli inserzionisti di caricare elenchi di dati dei clienti, come indirizzi e-mail e numeri di telefono. Ci vogliono circa 30 minuti perché lo strumento possa confrontare l’elenco dei clienti caricati di un inserzionista con i dati utente di Facebook, e voilà: gli inserzionisti possono targetizzare gli utenti di Facebook di cui hanno già i dati personali.
Anche il Custom Audiences forniscono altre informazioni utili: indica agli inserzionisti quanti dei suoi utenti vedranno un annuncio indirizzato a un determinato elenco e, nel caso di più elenchi di annunci mirati, indicherà agli inserzionisti quanto si sovrappongono gli elenchi.
Ed è qui che si trova il bug. Fino a quando Facebook lo ha risolto il mese scorso, i dati sulla dimensione del pubblico e sulla sovrapposizione potrebbero essere stati sfruttati per rivelare i dati sugli utenti di Facebook che non sono mai stati pensati per essere offerti al pubblico. Il buco ha a che fare con il modo in cui Facebook ha arrotondato le cifre per oscurare esattamente quanti utenti si trovavano nei vari segmenti di pubblico.
Per quanto riguarda le risorse, lo sfruttamento iniziale è stato l’aspetto più “costoso” dell’exploit, hanno detto i ricercatori. In una valutazione dell’attacco, hanno reclutato 22 volontari con account Facebook che vivevano a Boston o in Francia.
Ci sono voluti 30 minuti per caricare due elenchi con prefissi di Boston (617 e 857) in cui i telefoni avevano 7 cifre da dedurre. Ogni elenco aveva un milione di numeri di telefono, tutti con una singola cifra in comune. Con la Francia è stata più dura: ci è voluta una settimana per generare 200 milioni di possibili numeri di telefono a partire da 6 o 7 e per caricare ogni lista.
Ma dopo, tutto è andato abbastanza tranquillamente.
I segmenti di pubblico risultanti potevano essere riutilizzati per dedurre il numero di telefono di qualsiasi utente.
I ricercatori hanno continuato a utilizzare gli strumenti di Facebook per confrontare ripetutamente tali elenchi di pubblico con altri generati utilizzando le email dei destinatari. Hanno tenuto d’occhio le modifiche al numero stimato di audience che si sono verificati quando un indirizzo e-mail corrispondeva a un numero di telefono, rivelando i numeri degli utenti goccia a goccia, una cifra alla volta.
L’attacco apparentemente ha funzionato con tutti gli utenti di Facebook che avevano un numero di telefono associato al proprio account. L’exploit è inciampato quando le persone hanno fornito più o nessun numero di telefono per i loro account Facebook. Ci sono voluti meno di 20 minuti per utente per ottenere i numeri di telefono.
I ricercatori hanno utilizzato la stessa tecnica per raccogliere numeri di telefono in massa per i volontari che hanno visitato un sito Web con il “pixel di tracciamento” che Facebook fornisce per aiutare gli operatori del sito a indirizzare gli annunci ai visitatori. Come spiegano, Facebook offre agli inserzionisti un codice – indicato come pixel di tracciamento, dal momento che è stato storicamente implementato come immagine a un pixel – da includere nei loro siti web. Quando gli utenti visitano il sito web dell’inserzionista, il codice effettua richieste a Facebook, aggiungendo così l’utente a un pubblico.
I segmenti di pubblico non sono definiti da “attributi”, come il sesso dei visitatori o la loro posizione. Piuttosto, si tratta di “segmenti di pubblico basati su PII”. Gli inserzionisti selezionano specifici utenti a cui mirare, caricando indirizzi email, nomi o altre informazioni di identificazione personale (PII) noti, oppure selezionando gli utenti che hanno visitato un sito Web esterno sotto il controllo dell’inserzionista.
La versione di pixel di tracciamento dell’exploit è riuscita a far ottenere ai ricercatori i numeri di telefono che cercavano. Sembrava funzionare per tutti gli account che Facebook definisce come utenti attivi quotidianamente.
Facebook ha corretto il bug indebolendo i suoi strumenti di targeting degli annunci. Non vengono più mostrate le dimensioni del pubblico quando i dati dei clienti vengono utilizzati per creare nuovi elenchi di targeting pubblicitari.
Il vicepresidente di Facebook per gli annunci pubblicitari Rob Goldman ha rilasciato una dichiarazione di ringraziamento per il lavoro dei ricercatori:
Siamo grati al ricercatore che ha portato questo alla nostra attenzione attraverso il nostro programma di bug bounty. Sebbene non abbiamo riscontrato alcun abuso di questa tecnica complessa, abbiamo apportato modifiche ai prodotti per evitare che ciò si verificasse.
*Tratto dall’articolo Facebook bug could have exposed your phone number to marketers di Lisa Vaas
Lascia un commento