Voleva essere una provocazione e l’effetto è perfettamente riuscito: Ron Bowes, sviluppatore Nmap Security, ha semplicemente messo in fila alcune righe di codice ed ha lanciato una sorta si scan internazionale degli account Facebook pubblici. L’esito è quello di un file di grandi dimensioni (2.8 GB) contenente oltre 100 milioni di account dei quali è possibile sapere nome, cognome, ID e molte altre informazioni che l’utenza ha lasciato incautamente a disposizione dei crawler esterni al social network.
La provocazione di Bowes nasce dalla deformazione professionale dello sviluppatore: l’azienza lavora infatti per assicurare massima sicurezza sulle reti, verificando che le combinazioni nome/password in uso siano a prova di bot. Le medesime tecnologie sono quindi state applicate al Web cercando su Facebook (il più ampio bacino di dati personali disponibile) tra gli account che l’utenza non ha chiuso agli occhi esterni. Il risultato è un file che sulla forza dei grandi numeri ha ottenuto immediata risonanza moltiplicandosi peraltro tramite canali P2P.
Ron Bowes ha spiegato il significato del proprio gesto alla BBC. La raccolta dei nomi, infatti, ha permesso ad esempio di identificare quelli più diffusi: jsmith, ssmith e skhan. A livello teorico sarebbe sufficiente incrociare tali nominativi con le password più comuni in uso (è nota la pericolosa abitudine di affidarsi al canonico “123456”) e si otterrebbe come conseguenza il pieno accesso alle informazioni di una moltitudine di utenti. La legge dei grandi numeri consente questo tipo di ragionamento: decine di milioni di account su cui testare tali strategie permetterebbero di ottenere con relativa facilità decine di migliaia di dati da poter sfruttare a fini truffaldini o da rivendere sui canali illegali dedicati.
Bowes difende il proprio operato ricordando che ogni dato raccolto è pubblico e pertanto la tecnica usata non ha forzato alcuna difesa: il codice sviluppato ha semplicemente raccolto informazioni già di pubblico dominio, mettendo così in luce il pericolo potenziale che si ricava dal non badare con sufficiente attenzione al modo in cui i propri dati personali vengono trattati e tutelati. Tramite la BBC anche la Privacy International difende l’operato di Bowes: l’attacco ha preso forma secondo modalità “etiche” e diventa in questa fase utile per ricordare a tutti gli utenti quali possano essere i pericoli latenti che si concretizzano ogni qualvolta si agisce online senza la necessaria consapevolezza.