Un rapporto pubblicato dai ricercatori di sicurezza Talal Haj Bakry e Tommy Mysk afferma che Facebook Messenger e Instagram stanno raccogliendo e utilizzando i dati dalle preview dei link in un modo anomalo, tanto da aver violato la legge europea sulla privacy.
Nell’ottobre dello scorso anno, Bakry e Mysk hanno rivelato che le anteprime dei link nelle app di messaggistica possono portare a problemi di sicurezza e privacy su iOS e Android. È stato infatti scoperto che le app potrebbero divulgare indirizzi IP, esporre i collegamenti inviati in chat crittografate end-to-end, scaricare file di grandi dimensioni senza il consenso degli utenti e copiare dati privati tramite anteprime dei collegamenti.
In quel rapporto, Bakry e Mysk hanno scoperto che Facebook Messenger e Instagram si comportavano diversamente da altre app di messaggistica in quanto scaricavano l’intero contenuto di qualsiasi link sui loro server, indipendentemente dalle dimensioni. Quando è stato interrogata su questo comportamento insolito, Facebook ha detto che tutto stava funzionando come previsto.
Le copie dei dati di anteprima dei link conservati su server esterni potrebbero essere soggette a violazioni o usi impropri, che possono essere particolarmente preoccupanti per gli utenti che inviano collegamenti a dati privati sensibili o riservati come documenti aziendali, fatture, contratti o cartelle cliniche.
Ora, Bakry e Mysk hanno scoperto che Facebook ha recentemente smesso di generare anteprime dei link in Messenger e Instagram per gli utenti che vivono in Europa, così da conformarsi alla direttiva e-privacy dell’UE. La modifica si applica anche agli utenti al di fuori dell’Europa se comunicano con qualcuno che vive nel Vecchio Continente.
I ricercatori suggeriscono che, poiché l’Europa ha “alcune delle più solide leggi sulla privacy” e Facebook ha ora rimosso le anteprime dei link per rispettare le norme, la società deve aver utilizzato i dati dalle anteprime dei link in un modo non proprio rispettoso della privacy.
Si tratta di una conferma implicita che la gestione da parte di Facebook delle anteprime dei link su Messenger e Instagram non era conforme alle normative sulla privacy in Europa, altrimenti non avrebbero disabilitato la funzione
L’arresto di questa funzione in Europa suggerisce che Facebook potrebbe utilizzare o ha utilizzato quel contenuto per scopi diversi dalla semplice generazione di anteprime.
Facebook ha disabilitato le anteprime dei collegamenti per gli utenti in Europa per conformarsi alle nuove normative sulla privacy. Ciò conferma le nostre preoccupazioni sulla privacy e sul fatto che l’invio di collegamenti a file privati in Messenger e Instagram non è sicuro. Sebbene Facebook abbia disabilitato le anteprime dei collegamenti in Europa, gli utenti di altre regioni dovrebbero astenersi dall’inviare collegamenti tramite una di queste app. L’opzione migliore sarebbe passare ad altre app di messaggistica che rispettano la privacy degli utenti in tutte le parti del mondo allo stesso modo.
Bakry e Mysk ritengono che le anteprime dei link di Facebook possano aver violato gli articoli 4:1a, 4:2 e 5:3 della Direttiva ePrivacy. Questi articoli includono il requisito che i dati personali possono essere consultati solo dal personale autorizzato per scopi legali, per la necessità di informare gli utenti dei rischi di una violazione dei dati e per la necessità di ottenere il consenso dell’utente dopo aver ricevuto “informazioni chiare e complete” su come vengono raccolti i dati.
Poiché i collegamenti possono riguardare dati personali, la direttiva e-privacy impedisce a Facebook di archiviare, elaborare o utilizzare queste informazioni senza il consenso esplicito degli utenti nell’UE. Facebook dovrebbe anche chiarire agli utenti il motivo per cui scarica i contenuti delle anteprime dei collegamenti prima di richiedere il consenso.
Bakry e Mysk hanno dimostrato che i server di Facebook scaricano e memorizzano il contenuto dei collegamenti inviati tramite le sue app e, se lo stesso collegamento viene inviato una seconda volta, Facebook genera un’anteprima del collegamento senza scaricare il contenuto del link. Questo presumibilmente indica che il contenuto è archiviato o memorizzato nella cache da Facebook, come dimostrato dalla quantità di dati caricati dal dispositivo di un utente.
Le anteprime dei link continuano a essere disponibili in Messenger e Instagram per gli utenti al di fuori dell’Europa. Gli attuali Termini di servizio di Facebook stabiliscono che qualsiasi contenuto condiviso dagli utenti tramite uno dei servizi di Facebook verrà utilizzato per vari scopi come la personalizzazione di contenuti, annunci, suggerimenti e informazioni sugli utenti, sia all’interno che all’esterno dei prodotti e servizi aziendali. In Europa, questo uso dei dati personali richiede ora il consenso esplicito degli utenti.
Bakry e Mysk consigliano agli utenti al di fuori dell’Europa di non inviare link sensibili su Messenger o Instagram, proprio a causa di questi problemi di privacy.