Quali rischi corriamo se il nostro account Facebook viene hackerato? Come si comporta Facebook se vengono prelevati fondi dal conto o dalla carta collegata all’account per usi illeciti? Vi raccontiamo il calvario di un’azienda coinvolta in un caso di hackeraggio.
Facebook Business e profilo personale
Premessa. Per lavorare con Facebook (da qui in poi FB) bisogna accedere a Facebook Business Manager, e l’unico modo per farlo è abbinarci un profilo personale (privato, non di una società). Quindi un’azienda deve chiedere a un suo dipendente di accedere con le sue credenziali private alla pagina aziendale. Una vera stranezza che comporta molti rischi.
Facebook Business Manager serve a inserire le pagine pubblicitarie, a controllarle, misurare le performances in termini di visite, effettuare і pagamenti con la carta di credito aziendale o conti collegati e dare і permessi di accesso ai dipendenti. Devono quindi essere collegati a Facebook і dati della carta di credito o di un account PayPal. L’azienda protagonista della disavventura purtroppo ha inserito entrambe. L’account pubblicitario aziendale è identificato con un ID numerico. L’azienda in questione lo aveva attivato per promuovere le campagne dei propri prodotti.
Perdita accesso alla pagina personale ed a Facebook Business
La storia inizia un lunedì mattina come tanti altri. Il dipendente dell’azienda in questione tenta di accedere senza successo alla sua pagina personale FB e di conseguenza nemmeno al Business Manager dell’azienda. Inizialmente viene fatto un tentativo di recupero con la carta di identità ma non va a buon fine, allora ne viene fatto un successivo con la patente ma non viene ricevuta risposta.
Nel frattempo non era presente alcuna segnalazione relativa sia al profilo del dipendente sia al Facebook Business Manager al quale invece altri dipendenti riuscivano ad accedere dalle proprie pagine personali collegate. Dopo due giorni di impossibilità ad accedere, il dipendente chiede ad un collega di contattare l’assistenza via chat dal suo profilo personale.
La procedura di recupero del profilo di Facebook non funziona
In prima battuta l’assistenza di Facebook Business spiega che bisogna effettuare la procedura di recupero (facebook.com/ login/identify), la stessa che il dipendente aveva già tentato due volte senza ricevere risposta. Alla richiesta successiva il supporto di FB, che si chiama anche Concierge, informa che FB spesso non riconosce la carta d’identità in formato cartaceo, pertanto attribuisce a quello il fallimento nel tentativo di recupero, anche se questo dettaglio fondamentale, non è scritto da nessuna parte: se uno non lo sa, sbaglia, continua a sbagliare e perde tempo.
L’assistente di FB spiega che bisogna solo attendere, che non può fare nulla e che comunque non è un compito del business support (e di chi dovrebbe essere?!). Quel giorno nessuno poteva ancora immaginare che la pagina personale del dipendente fosse attiva e che l’hacker la stesse utilizzando senza che Facebook se ne accorgesse.
Arriva la fattura inaspettata su Facebook Business
Su Facebook Business arriva una fattura di oltre €4000. Nell’azienda regna l’incredulità in quanto nessuno aveva investito un budget di quell’importo in campagne pubblicitarie. Facebook aveva prelevato tutti i fondi presenti nella carta di credito aziendale (di cui il titolare aveva ricevuto notifica dal proprio istituto di credito la notte) e poiché il credito della carta non bastava a coprire l’importo addebitato, ha prelevato direttamente da un altro conto Paypal collegato al Profilo Business.
In principio l’azienda pensa che ci sia stato un errore non collegando il conto esorbitante addebitato con il blocco della pagina personale del dipendente. D’altra parte fino a quel momento nemmeno Facebook aveva segnalato anomalie all’azienda.
Analizzando le e-mail venne fuori che la stessa notte dell’addebito e del prelievo di Facebook, arrivò un’e-mail che confermava l’acquisto di una campagna pubblicitaria “programmata o in corso” con due elementi anomali. Il primo era che il nome della sponsorizzazione era esattamente lo stesso di un’attività risalente al mese precedente, il secondo è che la preview della campagna era inaccessibile.
Sponsorizzazioni farlocche dall’account Facebook Business in tutto il mondo
Nella Pagina Facebook Business Manager apparivano tutte le sponsorizzazioni effettivamente create per un importo inferiore a €20, mentre il resto delle campagne per oltre €4000 erano distribuite su sponsorizzazioni con titoli sbagliati, frasi incongruenti e preview inaccessibili. Oltretutto le campagne farlocche erano indirizzate in tutto il mondo, mentre l’azienda operava esclusivamente nel territorio italiano.
La risposta di Facebook alla segnalazione dell’azienda e l’amara scoperta
L’azienda ricontattò Facebook sulla chat dell’assistenza chiedendo spiegazioni sull’accaduto. Durante il colloquio l’assistente chiese se l’importo di un’altra fattura di importo simile invece era riconosciuto. L’azienda scoprì così che Facebook vantava un credito complessivo di oltre €8000. Questa ulteriore fattura riguardava la sponsorizzazione di un videogioco che nulla ha a che fare con l’attività dell’azienda.
Da ulteriori verifiche si arrivò alla conclusione che il profilo personale del dipendente era stato hackerato ed utilizzato per accedere alla carta di credito collegato all’account Facebook Business aziendale. A quel punto l’assistente di Facebook capendo di trovarsi di fronte un problema non propriamente ordinario concluse la chat dicendo che sarebbero stati effettuate ulteriori verifiche e di attendere ulteriori comunicazioni.
La gestione sconcertante da parte di Facebook
La gestione della vicenda da parte di Facebook appare sconcertante. È come se venisse affidata la carta di credito ad un negozio che se la fa rubare da uno sconosciuto che spende sempre attraverso lo stesso negozio e risponde al proprietario della carta che verificherà e nel frattempo (non si sa quanto) dovrà aspettare di sapere come deciderà di comportarsi, calpestando qualsiasi regola alla base di un rapporto fiduciario.
Dopo una settimana ancora nessuna risposta da parte di Facebook
A distanza di una settimana non solo l’azienda non riceve risposta, ma addirittura dal Facebook Business Support non può contattare l’assistenza via chat in quanto il pulsante della chat non è più presente. Il personale dell’azienda ricontatta l’assistenza da un altro profilo spiegando tutta la situazione. Viene risposto che la chat sul profilo Business era stato disattivato per controlli e che sarebbe stato riattivato a breve.
Nella chat Facebook dice di aver scritto ad un indirizzo e-mail aziendale. Da una verifica da parte dell’azienda è poi risultato che Facebook aveva scritto su un indirizzo aziendale in disuso non collegato alla pratica in corso. La parte più assurda non è questa ma piuttosto il fatto che nell’e-mail veniva semplicemente detto che l’account era nuovamente utilizzabile per fare nuove promozioni, senza alcuna indicazione riguardo la restituzione del credito usato illecitamente.
Il tentativo di Facebook Italy di scaricare il problema su Facebook Ireland
All’ennesimo contatto con l’assistenza in chat, l’assistente dice tre cose: che sarebbe stata data una risposta riguardo alla richiesta di rimborso entro le 72 ore successive, che non risultavano ticket aperti riguardo l’account hackerato del dipendente (pazzesco!) e che l’ufficio di pertinenza di Facebook per il caso è Facebook Ireland Ltd, 4 Grand Canal Square, Grand Canal Harbur, D2 – Dublin – Ireland, dimenticandosi che esiste una sede Facebook in Italia in Piazza Missori, 2 a Milano.
L’unica storia che conosceva l’azienda era quella propinata da Facebook e l’unica certezza fino a quel momento era che erano stati sottratti dei soldi che Facebook non stava restituendo.
C’è un mondo virtuale con leggi proprie che ci racconta quello che vuole in base a dati non verificabili perché sono solo a disposizione della piattaforma utilizzata.
Giulia Spreafico
L’arroganza sta nel fatto che nel vendere questi servizi FB non spende nulla e non rischia nulla (i rischi, semmai, li corrono і suoi clienti, come dimostra questa malaugurata vicenda). È un po’ come se ci fosse l’inversione dell’onere della prova: qualcuno usa le nostre carte di credito, affidate a FB, e siamo noi che dobbiamo provare a FB che siamo onesti e che ci comportiamo bene sulla loro piattaforma. Se non la pensassero così avrebbero cominciato con il rimborsare e lo scusarsi e invece si tengono і soldi e ci complicano la vita al malcapitato che viene addirittura invitato a spendere altri soldi sul loro sistema.
Alcune domande da porsi
- Se il dipendente vittima del furto dell’account fosse stato in un’azienda diversa e avesse sofferto di accuse di essere stato l’artefice della truffa?
- È corretta la politica per cui le aziende debbano usare le pagine personali dei propri dipendenti per accedere all’account business aziendale?
- Esiste una regolamentazione di Facebook sui furti di denaro a seguito della loro mancanza nella sicurezza?
- Se a subire il furto è una piccola azienda che può andare in sofferenza anche con la sottrazione di un importo simile che succede?
- Dobbiamo continuare a fidarci di piattaforme che posseggono i nostri dati personali ed hanno accesso alle nostre carte di credito che non offrono standard di sicurezza certificati da terzi e non si assumo responsabilità in caso di problemi?
Dopo 72 ore ancora non arriva la risposta promessa
La risposta entro 72 ore promessa in chat riguardo il rimborso non è stata mantenuta. Nella successiva chat risponde un altro interlocutore a cui deve essere rispiegato tutto da capo. Alla fine della chat l’assistente ha concluso che trattandosi di cifre importanti doveva aspettare una decisione dal “team competente” entro una settimana (ancora?!).
Nel frattempo il profilo del dipendente sbarca in Vietnam
Controllando nuovamente il profilo del dipendente a cui era stato rubato l’account viene scoperto che una pagina legata al suo profilo era stata resa visibile solo in Vietnam per la vendita di prodotti locali con tanto di dati personali e numero di telefono del dipendente. Niente male per un profilo che Facebook aveva detto di aver messo in sicurezza ed in cui non risultavano persone che si stavano fingendo di essere altre.
Esiste un mercato di profili social rubati? Che rapporto ci poteva essere fra la pubblicità a prodotti locali in Vietnam con la pubblicità di un videogioco in tutto il mondo?
Un ricercatore israeliano ha scoperto
La Repubblica
l’esistenza di 533 milioni di profili
Facebook in vendita in un forum
di hacker
Solo per l’Italia sono censite 35.677.338 utenze in cui sono scritte posizioni lavorative, relazioni, interessi, orientamenti politici e religiosi, etc.
Quali sono le ragioni per comprare milioni di profili personali? Ragioni politiche? Furto di denaro da conti e carte di credito? Ed a quanto ammonta il denaro sottratto agli iscritti? Possono essere addirittura coinvolte le stesse piattaforme? Un fatto è certo, Facebook e gli altri Global Players non ci raccontano quello che succede.
Facebook non ha una PEC… anzi si
Dopo l’ulteriore settimana di attesa senza risposta, l’azienda vuole scrivere una lettera ufficiale. L’assistenza in chat tenta di indirizzare nuovamente verso la sede di Dublino. Alla richiesta di un indirizzo PEC la risposta dell’operatore è che non esiste ma che avrebbero dato una risposta entro… indovinate… una settimana!
Dopo l’ulteriore settimana di attesa senza risposta, l’azienda cerca l’indirizzo PEC alla Camera di Commercio e trova come previsto Facebook Italy srl con indirizzo PEC: facebook@legalmail.it (non poteva essere diversamente visto che in Italia per le imprese è obbligatorio avere un recapito digitale certificato). Annotatevi questi dati perché non li troverete sul sito di Facebook.
Alla conclusione di questo articolo non ci sono ancora informazioni in merito alla restituzione dei soldi. Quel che è certo è che l’azienda truffata se costretta agirà per vie legali in Italia e non certo a Dublino.
Tenete sotto controllo le transazioni su Facebook Business Manager
Controllate sempre attentamente le transazioni delle vostre sponsorizzazioni. Se importi elevati danno subito all’occhio, l’uso illecito di importi più piccoli potrebbero passare inosservati visto che gli hacker usano spesso gli stessi nomi di campagne che avete in uso ed in ogni caso FB non farà un controllo di coerenza al posto vostro. Come si evince da questa storia FB tratta l’azienda che denuncia il problema alla stregua dei malfattori che l’hanno derubata ed in ogni caso non ci rimette mai visto che il credito viene comunque speso sulla sua piattaforma.
State attenti ai vostri soldi ed ai vostri dati personali, visto che un profilo violato non protegge le vostre informazioni personali anche se avevate scelto di non condividerle. Per le vostre campagne pubblicitarie affidatevi ad esperti del settore come Angelico Web che oltre a portarvi risultati migliori hanno l’esperienza per mitigare al massimo rischi e truffe da parte di malintenzionati.
facebook business, facebook business suite, business manager facebook, business suite facebook, fb business, facebook my business, business manager di facebook, facebook suite business, business facebook help, business manager overview facebook, business facebook suite, business messenger, account pubblicitario facebook, facebook business accedi, business site facebook, login facebook business, help facebook business, business suite fb, whatsapp business facebook, facebook business suite pc, account business facebook, app business suite, account pubblicitario facebook disabilitato, business suite pc, facebook business suite accedi, business studio facebook, ads facebook business, facebook business manager accedi, business manager facebook accedi, crea business manager, business suite facebook accedi, business model facebook, id account pubblicitario facebook, profilo aziendale facebook, facebook business manager suite, facebook business costi, fbbusiness, facebook account pubblicitario, account pubblicitario, businessmanagerfacebook, facebook account aziendale, startup facebook, app facebook business, business messenger facebook, facebook business suite stories, crea account pubblicitario facebook, account facebook aziendale, account facebook business, crea account business manager, facebook business suite windows 10, suite facebook manager, account business manager facebook, business manager facebook app, business suite business manager, facebook business ma, facebook business suite windows, creator studio business manager, giuseppe conte facebook business manager, facebook business 2021, facebook business suite per pc, google business facebook, app facebook business suite, business suite facebook pc, facebook business pc, business manager gestione inserzioni, id facebook business, barber shop facebook, facebook business suite link, business manager business suite, profilo business facebook, facebook business s, facebook my business manager, business plan facebook, id facebook business manager, facebook account pubblicitario disabilitato, facebook business suite business manager, creator studio business suite, account pubblicitario disabilitato facebook, fb bisnes, app business facebook, business suite e business manager, network marketing facebook, fb manager business, id account pubblicitario, business fb m, candy shop facebook, suite manager facebook, crea account facebook business, business manager suite facebook, partner facebook business manager, facebook business manager kurs, messenger facebook business, facebook manager business account, facebook per business, business manager di facebook login, facebook business over, business manager fa, trovare id account pubblicitario facebook, facebook business lite, app facebook business manager, messenger business app, whatsapp business facebook ads, facebook for business costi, account pubblicitario facebook non richiesto, facebook ads network marketing, business facebook commerce, facebook account business manager, hair studio facebook, trovare id business manager, google business manager facebook, gestione inserzioni business manager, business manager e business suite, account con restrizioni facebook business manager, crea nuovo account pubblicitario facebook, account pubblicitario facebook bloccato, app business manager facebook, face business help, facebook creator studio business manager, facebook business ios 14, facebook business suite costi, nuovo account pubblicitario facebook, facebook id business manager, crea account business facebook, crea account aziendale facebook, crea un business manager, id business facebook, editor facebook business page, veronica gentili business manager, profilo facebook business, facebook business è a pagamento, facebook business manager crea account, accedi facebook business, facebook business suite è a pagamento, udemy facebook business manager, facebook crea account aziendale, business facebook accedi, business manager account pubblicitari, crea business manager facebook, account facebook business manager, gestione account pubblicitario facebook, business suite come funziona, facebook business suite come funziona, facebook ads whatsapp business, facebook business suite o business manager, business manager facebook crea account, facebook business suite è gratuita, id business manager partner, account business facebook disabilitato, whatsapp business e facebook, info whatsapp business, facebook nuovo account aziendale, business editor facebook, facebook business gestione inserzioni, app business suite facebook, business manager di facebook accedi, kurs facebook business manager, business suite facebook story, costi facebook business, face my business, ios 14 business manager, profilo aziendale su facebook, crea profilo aziendale facebook, tim business facebook, business tour facebook, sg business facebook, business suite facebook è gratuito, business manager su facebook, facebook business manager italiano, facebook crea profilo aziendale, facebook per il business, whatsapp business su facebook, facebook e whatsapp business, business su facebook