Facebook Messenger e Instagram violavano la legge europea sulla privacy
Facebook scaricava e archiviava i dati delle anteprime collegamenti inviati tramite Messenger e Instagram.
Un rapporto dei ricercatori sulla sicurezza Talal Haj Bakry e Tommy Mysk rivela che Facebook Messenger e Instagram stanno raccogliendo e utilizzando i dati dalle anteprime dei collegamenti, una mossa che viola la legge europea sulla privacy.
Nell’Ottobre dello scorso anno, Bakry e Mysk hanno rivelato che le anteprime dei collegamenti nelle app di messaggistica popolari possono portare a problemi di sicurezza e privacy su iOS e Android. È stato scoperto che le app potrebbero far trapelare indirizzi IP, esporre collegamenti inviati in chat crittografate end-to-end, scaricare file di grandi dimensioni senza il consenso degli utenti e copiare dati privati tramite anteprime dei collegamenti.
In quel rapporto, i ricercatori hanno scoperto che Facebook Messenger e Instagram si sono comportati diversamente da altre app di messaggistica in quanto scaricavano l’intero contenuto di qualsiasi collegamento ai suoi server, indipendentemente dalle dimensioni. Quando è stato interrogato su questo comportamento insolito, Facebook ha affermato che “tutto funziona come previsto”.
Le copie dei dati di anteprima dei collegamenti conservati su server esterni potrebbero essere soggette a violazioni o uso improprio, che possono essere particolarmente preoccupanti per gli utenti che inviano collegamenti a dati privati sensibili o riservati come documenti aziendali, fatture, contratti o cartelle cliniche.
Ora, Bakry e Mysk hanno scoperto che Facebook ha recentemente smesso di generare anteprime di link su Messenger e Instagram per gli utenti in Europa per conformarsi alla Direttiva ePrivacy dell’Unione Europea . La modifica si applica anche agli utenti al di fuori dell’Europa se comunicano con qualcuno nella regione.
I ricercatori suggeriscono che poiché l’Europa ha “alcune delle più solide leggi sulla privacy” e Facebook ha ora rimosso le anteprime dei collegamenti per rispettare la legislazione, la società deve aver utilizzato i dati delle anteprime dei collegamenti in un modo che violerebbe la direttiva ePrivacy.
È una conferma implicita che la gestione da parte di Facebook delle anteprime dei link in Messenger e Instagram non era conforme alle normative sulla privacy in Europa, altrimenti non avrebbero disabilitato la funzione. L’arresto di questo servizio in Europa suggerisce fortemente che Facebook potrebbe aver utilizzato questo contenuto per scopi diversi dalla generazione di anteprime.
Bakry e Mysk ritengono che le anteprime dei link di Facebook possano aver violato gli articoli 4: 1a, 4: 2 e 5: 3 della Direttiva ePrivacy. Questi articoli includono il requisito che i dati personali possano essere consultati solo dal personale autorizzato per scopi legali, la necessità di informare gli utenti dei rischi di una violazione dei dati e la necessità di ottenere il consenso dell’utente dopo aver ricevuto “informazioni chiare e complete” su come vengono raccolti i dati.
Poiché i collegamenti possono riguardare dati personali, la direttiva ePrivacy impedisce a Facebook di archiviare, elaborare o utilizzare queste informazioni senza il consenso esplicito degli utenti nell’UE. Facebook dovrebbe anche chiarire agli utenti il motivo per cui scarica i contenuti delle anteprime dei collegamenti prima di richiedere il consenso.
Bakry e Mysk hanno dimostrato che i server di Facebook scaricano e memorizzano il contenuto dei collegamenti inviati tramite le sue app e, se lo stesso collegamento viene inviato una seconda volta, Facebook genera un’anteprima del collegamento senza scaricare il contenuto del collegamento. Ciò presumibilmente indica che il contenuto è archiviato o memorizzato nella cache da Facebook ed è dimostrato dalla quantità di dati caricati dal dispositivo di un utente.
Le anteprime dei link continuano ad essere disponibili in Messenger e Instagram per gli utenti al di fuori dell’Europa. Gli attuali Termini di servizio di Facebook stabiliscono che qualsiasi contenuto condiviso dagli utenti tramite uno qualsiasi dei servizi di Facebook verrà utilizzato per vari scopi come la personalizzazione di contenuti, annunci, suggerimenti e informazioni sugli utenti. In Europa, questo uso dei dati personali richiede ora il consenso esplicito degli utenti anche se approvato dai Termini di servizio di Facebook.
Facebook ha disabilitato le anteprime dei collegamenti per gli utenti in Europa per conformarsi alle nuove normative sulla privacy. Ciò conferma le nostre preoccupazioni sulla privacy che l’invio di collegamenti a file privati in Messenger e Instagram non è sicuro. Sebbene Facebook abbia disabilitato le anteprime dei collegamenti in Europa, gli utenti di altre regioni dovrebbero astenersi dall’inviare collegamenti tramite una di queste app. L’opzione migliore sarebbe passare ad altre app di messaggistica che rispettano la privacy degli utenti in tutte le parti del mondo allo stesso modo.
Bakry e Mysk stanno ora consigliando a tutti gli utenti al di fuori dell’Europa di non inviare collegamenti tramite Messenger o Instagram a causa di problemi di privacy e hanno persino suggerito agli utenti di passare completamente ad altre app di messaggistica.
Se hai trovato interessante questo articolo, condividilo e fallo leggere anche ai tuoi amici: