A poco più di una settimana dall’attacco hacker che ha colpito Facebook e messo a rischio almeno 50 milioni di profili, i dati frutto di quel bottino sono già in vendita sul dark web e a prezzi bassi. A fare la scoperta il sito The Independent, che ha notato nei mercati sotterranei del web – una parte di Internet accessibile solo con determinati software – annunci che offrono agli acquirenti i dati personali degli utenti di Facebook per un minimo di 3 dollari.
Se sfruttati dai criminali informatici, i dati potrebbero essere utilizzati per commettere furti di identità o ricattare gli utenti del social network. La testata riporta anche una recente ricerca della società Money Guru, non legata all’ultimo hackeraggio a Facebook, che fa una valutazione generale al mercato nero del web della nostra identità digitale, che si aggirerebbe intorno agli 850 euro.
Secondo The Independent, gli account compromessi con l’attacco a Facebook sono in vendita ad una cifra compresa tra i 3 e i 12 dollari, è possibile acquistarli solo utilizzando valute digitali come i bitcoin. Se venduti singolarmente a questi prezzi, stima la testata, il valore dei dati rubati sul mercato nero sarebbe compreso tra 150 e 600 milioni di dollari.
L’attacco hacker a Facebook è stato reso possibile dallo sfruttamento da parte di “attori esterni” di tre vulnerabilità che riguardano la funzione ‘Visualizza come’ e la nuova versione del caricamento video introdotta a luglio 2017, che a sua volta ha generato in modo errato un token di accesso all’app mobile di Facebook.
E proprio a causa dell’attacco Facebook finisce nel mirino delle autorità europee chepotrebbero rilevare una violazione delle norme della nuova General data protection regulation (Gdpr) e imporre una multa fino a 1,63 miliardi di dollari.
La Data protection commission (la commissione irlandese per la tutela dei dati, competente per il controllo di Menlo Park in Ue) chiederà a Facebook ulteriori informazioni su quanto accaduto, non soddisfatta dagli elementi finora forniti. Il regolatore afferma di essere “preoccupato” perché il data breach coinvolge milioni di account e “Facebook non è stata in grado di chiarire la natura della violazione e il rischio per gli utenti in questo momento”.
Se verrà accertata una violazione del Gdpr, il nuovo regolamento europeo sulla protezione dei dati personali entrato in vigore a maggio, potrebbe scattare la sanzione pari al 4% del fatturato annuale globale. La cifra varia in base ad alcuni parametri, come la gravità della violazione e la risposta dell’azienda coinvolta, che ha l’obbligo di informare le autorità competenti entro 72 ore dal rilevamento dell’intrusione. Facebook avrebbe agito con la tempestività richiesta ma, secondo la Data protection commission, il report inviato dall’azienda manca di alcuni dettagli.
Fonte: Il Corriere delle Comunicazioni