Sicurezza dei Token e Cookie di Facebook: Cosa Deve Sapere Ogni Inserzionista

Se gestisci account pubblicitari Facebook — i tuoi o quelli dei clienti — sei seduto su una pila di credenziali di accesso che, nelle mani sbagliate, possono prosciugare budget, rubare dati e distruggere permanentemente gli asset pubblicitari. Non è un'ipotesi. Succede ogni settimana.

La crescente dipendenza dell'industria pubblicitaria da strumenti non ufficiali, browser anti-detect e flussi di lavoro basati sulla condivisione dei token ha creato una superficie di attacco massiva che la maggior parte dei media buyer non comprende appieno. Questa guida spiega esattamente come funzionano i token e i cookie di Facebook, quali rischi corri quando li condividi e come proteggere la tua operazione.

Comprendere i Token di Accesso Facebook

Cosa Sono i Token EAAB e Cosa Controllano

Ogni volta che un'applicazione di terze parti interagisce con l'infrastruttura pubblicitaria di Meta, lo fa attraverso un token di accesso — una stringa di credenziali che dice ai server API di Meta chi sta facendo la richiesta e cosa è autorizzato a fare.

Il tipo di token più comune nella pubblicità è il token EAAB (il prefisso indica il formato dell'identificatore con ambito app utilizzato da Meta). Quando vedi una stringa come EAABsbCS1iHgBAxxxxxxx, stai guardando una chiave che può potenzialmente:

• Leggere e modificare tutte le campagne su ogni account pubblicitario a cui il proprietario del token ha accesso
• Cambiare budget e offerte — incluso impostare i budget giornalieri al massimo consentito
• Accedere alle informazioni di fatturazione — visualizzare metodi di pagamento, storico spese e fatture
• Scaricare dati del pubblico — esportare audience personalizzate, dati seed lookalike e liste clienti
• Gestire gli asset del Business Manager — aggiungere o rimuovere persone, riassegnare account pubblicitari, modificare permessi
• Accedere al pixel Meta — visualizzare dati di conversione, modificare le impostazioni del pixel e leggere i dati degli eventi

L'ambito dell'accesso dipende dai permessi concessi quando il token è stato creato. I due permessi più pericolosi in un contesto pubblicitario sono ads_management (controllo completo su campagne pubblicitarie e creatività) e business_management (controllo strutturale sul Business Manager stesso).

Tipi di Token: Comprendere la Gerarchia

Non tutti i token sono creati uguali. Il sistema di token di Meta ha tre livelli distinti, ciascuno con diverse implicazioni di sicurezza:

I Token di Accesso Utente vengono generati quando una persona accede tramite Facebook Login su un'app di terze parti. Questi token ereditano qualunque permesso l'utente abbia concesso durante il flusso di autorizzazione. I token utente a breve durata scadono dopo circa un'ora. I token a lunga durata, ottenuti scambiando un token a breve durata attraverso l'API di Meta, durano circa 60 giorni. Sono il tipo di token più comunemente rubato perché portano il peso completo dei permessi di un utente umano.

I Token Pagina derivano dai token utente ma sono limitati a una specifica Pagina Facebook. Un token pagina a lunga durata generato correttamente può diventare non scadente — il che significa che rimane valido fino alla revoca esplicita o fino a quando cambia la relazione dell'utente con la pagina. Sono frequentemente usati dagli strumenti di gestione social media.

I Token Utente di Sistema vengono creati all'interno del Business Manager per l'accesso API machine-to-machine senza un login umano. Non scadono e sono legati al Business Manager piuttosto che a un account personale. Dal punto di vista della sicurezza, i token utente di sistema sono l'opzione più controllata: possono essere limitati a specifici account pubblicitari, non espongono le credenziali dell'account personale e possono essere revocati senza influire sull'accesso di nessun utente umano.

Durata del Token e Meccanismi di Rinnovo

Un malinteso comune è che i token scadano rapidamente e quindi rappresentino un rischio limitato. La realtà è più sfumata:

• Token a breve durata: ~1 ora di vita. Rischio relativamente basso se intercettati, ma possono essere scambiati per token a lunga durata da chiunque li possieda insieme al segreto dell'app.
• Token a lunga durata: ~60 giorni. Questo è il tipo di token standard usato dalla maggior parte degli strumenti pubblicitari. Sessanta giorni di accesso illimitato sono più che sufficienti per prosciugare un budget pubblicitario a sette cifre.
• Token pagina non scadenti: Validi fino alla revoca. Persistono attraverso i cambi di password e persino attraverso alcune azioni di sicurezza dell'account.
• Token utente di sistema: Non scadono mai. Limitati agli asset del Business Manager. Possono essere revocati solo tramite le impostazioni del Business Manager.

Il punto critico: cambiare la password di Facebook non invalida i token di accesso attivi. Se un token è stato compromesso, devi revocarlo esplicitamente attraverso le impostazioni app di Facebook o il Business Manager.

Accesso Basato sui Cookie: La Minaccia Più Profonda

Come Funzionano i Cookie di Sessione Facebook

Mentre i token forniscono accesso a livello API, i cookie forniscono qualcosa di probabilmente più pericoloso: accesso completo a livello di sessione browser al tuo account Facebook, indistinguibile dal fatto che tu sia realmente loggato.

Due cookie sono critici:

c_user: Contiene il tuo ID numerico Facebook. Non è segreto di per sé — il tuo ID utente è semi-pubblico — ma serve come metà identificativa della coppia di autenticazione.

xs: Il cookie di autenticazione della sessione. Questa è la credenziale effettiva. Combinato con c_user, rappresenta una sessione Facebook completamente autenticata. Chiunque possieda entrambi i cookie può importarli in qualsiasi browser e ottenere immediatamente accesso completo al tuo account.

Perché l'Importazione dei Cookie Bypassa la 2FA

Questa è la parte che allarma la maggior parte degli inserzionisti quando la comprendono per la prima volta: il dirottamento di sessione basato sui cookie bypassa completamente l'autenticazione a due fattori.

Ecco perché. L'autenticazione a due fattori (2FA) è una misura di sicurezza al momento del login. Verifica la tua identità quando crei una nuova sessione. Ma quando qualcuno importa i tuoi cookie c_user e xs, non sta creando una nuova sessione — sta riprendendo la tua sessione esistente, già autenticata. Dal punto di vista di Facebook, sembra identico a te che apri una nuova scheda del browser. La sessione era già stata validata con la 2FA quando ti sei originariamente loggato.

Ecco perché i browser anti-detect e gli strumenti di importazione cookie sono così pericolosi. Non stanno solo bypassando i prompt di login — stanno assumendo la tua identità autenticata completa. Chiunque abbia i tuoi cookie può:

• Accedere a ogni account pubblicitario collegato al tuo Business Manager
• Modificare le impostazioni del Business Manager (aggiungere utenti, riassegnare asset)
• Cambiare le impostazioni di sicurezza del tuo account (disabilitare la 2FA, cambiare email/telefono)
• Accedere alle conversazioni Messenger e alle caselle di posta delle pagine
• Scaricare esportazioni di dati e codici di backup

Come Vengono Rubati i Cookie

I vettori più comuni di furto di cookie nell'industria pubblicitaria:

1. Estensioni browser malevole: Le estensioni con permessi ampi possono leggere i cookie di qualsiasi dominio, incluso facebook.com. L'utente non vede alcuna indicazione che i suoi cookie siano stati esfiltrati.

2. Malware infostealer: Famiglie di malware come RedLine, Raccoon e Vidar prendono di mira specificamente i database dei cookie del browser. Estraggono cookie da Chrome, Firefox, Edge e altri browser, li impacchettano e li inviano ai server di comando e controllo. Questi cookie rubati vengono poi venduti in blocco sui canali Telegram e sui mercati del dark web.

3. Phishing con cattura di sessione: Attacchi di phishing avanzati utilizzano strumenti reverse proxy come Evilginx per intercettare i cookie di sessione effettivi in tempo reale mentre la vittima accede attraverso una pagina di login falsa. Questo cattura anche le sessioni protette da 2FA.

4. Condivisione volontaria tramite strumenti grey-hat: Molti strumenti pubblicitari non ufficiali richiedono esplicitamente che gli utenti esportino e condividano i loro cookie Facebook. Gli utenti lo fanno volontariamente perché non comprendono che stanno consegnando l'accesso completo all'account. Vedi la nostra analisi su come funzionano gli strumenti grey-hat di Facebook per maggiori dettagli.

L'Hack dell'Estensione Chrome di AdsPower: Un Caso Studio

Cosa È Successo

A gennaio 2024, AdsPower — uno dei browser anti-detect più utilizzati nel settore dell'affiliate marketing e del media buying — ha subito un attacco alla supply chain attraverso la sua estensione Chrome. L'incidente è stata una chiara dimostrazione di cosa succede quando i professionisti della pubblicità ripongono eccessiva fiducia in strumenti con accesso profondo a livello di browser.

L'attacco si è svolto attraverso un aggiornamento dell'estensione compromesso. L'estensione Chrome di AdsPower, che richiedeva permessi browser estesi per funzionare come strumento anti-detect, ha ricevuto un aggiornamento di routine contenente codice malevolo. Poiché gli utenti avevano già concesso all'estensione permessi ampi — accesso a tutti i siti web, capacità di leggere e modificare cookie, capacità di intercettare richieste web — l'aggiornamento malevolo non ha attivato alcun prompt aggiuntivo di permessi.

Il Meccanismo Tecnico

Il codice iniettato prendeva di mira specificamente le interazioni con i wallet di criptovalute. Quando un utente avviava una transazione nel suo crypto wallet basato su browser (MetaMask, per esempio), l'estensione compromessa intercettava la richiesta di firma della transazione e modificava silenziosamente l'indirizzo del wallet di destinazione con uno controllato dall'attaccante. L'utente vedeva l'indirizzo corretto sullo schermo ma la transazione blockchain effettiva inviava i fondi a un wallet diverso.

Si stima che 4,7 milioni di dollari in criptovalute siano stati rubati prima che l'attacco fosse scoperto e l'estensione rimossa.

Perché Questo È Importante per gli Inserzionisti

L'hack di AdsPower è rilevante per ogni media buyer per tre ragioni:

Primo, ha dimostrato che le estensioni dei browser anti-detect sono obiettivi di alto valore. Questi strumenti, per progettazione, richiedono i permessi browser più invasivi possibili. Devono modificare i cookie, alterare le impronte digitali del browser, intercettare le richieste e iniettare script. Quegli stessi permessi li rendono vettori di attacco ideali.

Secondo, ha mostrato che gli attacchi alla supply chain possono compromettere strumenti di cui milioni di persone si fidano. Puoi verificare il codice di uno strumento oggi e averlo compromesso domani attraverso un aggiornamento automatico. La superficie di attacco non è statica.

Terzo, ha dimostrato che il rischio non si limita alla pubblicità. Se usi un browser anti-detect per le tue operazioni pubblicitarie, qualsiasi altra attività sensibile in quell'ambiente browser — banking, crypto, email, altri account aziendali — è anch'essa esposta.

OAuth Ufficiale vs. Estrazione del Token: Una Differenza Fondamentale

Come Funziona OAuth (Il Modo Sicuro)

Quando una piattaforma pubblicitaria legittima ha bisogno di accedere ai tuoi account pubblicitari Meta, utilizza il flusso ufficiale di autorizzazione OAuth 2.0 di Meta:

1. Clicchi "Connetti con Facebook" nella piattaforma
2. Vieni reindirizzato al dominio ufficiale di Meta (facebook.com)
3. Meta ti mostra esattamente quali permessi l'app sta richiedendo
4. Approvi i permessi specifici con cui ti senti a tuo agio
5. Meta emette un token direttamente all'applicazione — non lo vedi né lo gestisci mai
6. Il token è limitato solo ai permessi che hai approvato
7. Puoi revocare l'accesso in qualsiasi momento dalle impostazioni Facebook

Questo flusso fornisce diverse proprietà di sicurezza critiche:

• Permessi limitati: L'app ottiene solo i permessi specifici che hai approvato
• Accesso revocabile: Puoi revocare istantaneamente l'accesso dell'app
• Traccia di audit: Meta registra tutte le chiamate API fatte con il token
• Nessuna esposizione delle credenziali: Non vedi, copi o gestisci mai il token
• Responsabilità dell'app: L'app è registrata presso Meta ed è soggetta alle politiche della piattaforma

Come Funziona l'Estrazione del Token (Il Modo Pericoloso)

Gli strumenti grey-hat usano un approccio completamente diverso:

1. Accedi a Facebook nel tuo browser
2. Lo strumento ti istruisce ad aprire gli Strumenti per Sviluppatori di Chrome (F12)
3. Navighi nella scheda Applicazione, trovi i cookie o fai una chiamata API specifica
4. Copi un token di accesso grezzo o i valori dei cookie
5. Li incolli nello strumento di terze parti

Questo approccio non ha nessuna delle proprietà di sicurezza di OAuth:

• Nessuna limitazione dei permessi: Il token estratto porta i tuoi permessi completi
• Nessun meccanismo di revoca: Lo strumento ha il token grezzo e può conservarlo, condividerlo o usarlo anche dopo che tenti di revocare l'accesso
• Nessuna traccia di audit: Le chiamate API fatte con il tuo token estratto sono indistinguibili dalle chiamate che fai tu stesso
• Esposizione completa delle credenziali: Stai gestendo una credenziale grezza che, se intercettata in qualsiasi punto, dà accesso completo
• Nessuna responsabilità dell'app: Lo strumento non è registrato presso Meta e non può essere chiuso attraverso l'enforcement della piattaforma

Come Proteggere la Tua Operazione Pubblicitaria

Azioni Immediate

1. Controlla subito le tue app connesse. Vai su Impostazioni Facebook > Protezione e accesso > App e siti web. Rimuovi tutto ciò che non usi attivamente e non riconosci. Per il Business Manager, controlla Impostazioni Business > Utenti > Utenti di sistema per qualsiasi token che non hai creato.

2. Abilita l'autenticazione a due fattori su ogni account che tocca le tue operazioni pubblicitarie — il tuo account Facebook personale, ogni admin del Business Manager, il tuo account email e il tuo registrar di dominio. Usa un'app di autenticazione (non SMS) per i codici.

3. Smetti immediatamente di condividere token grezzi. Se qualsiasi strumento nel tuo workflow richiede di estrarre e incollare un token di accesso o dei cookie, quello strumento è una vulnerabilità di sicurezza. Migra a una piattaforma che usa OAuth.

4. Controlla le tue estensioni browser. Rivedi ogni estensione installata in qualsiasi browser dove accedi a Facebook. Rimuovi qualsiasi estensione di cui non hai assolutamente bisogno.

5. Usa profili browser separati. La tua sessione pubblicitaria Facebook non dovrebbe condividere un profilo browser con la navigazione personale, crypto wallet, banking o altre attività sensibili.

Pratiche di Sicurezza Continuative

Monitora le attività non autorizzate. Controlla regolarmente il tuo Registro Attività per azioni che non hai eseguito. Imposta gli avvisi di login di Facebook per essere notificato di nuove attività di sessione.

Implementa restrizioni basate su IP. Nel Business Manager, abilita l'impostazione "Richiedi autenticazione a due fattori per tutti".

Ruota le credenziali secondo un programma. I token utente di sistema dovrebbero essere ruotati almeno trimestralmente. Rivedi e rigenera regolarmente i token a lunga durata.

Usa token utente di sistema invece dei token personali. Quando possibile, crea utenti di sistema nel Business Manager per le integrazioni API.

Educa il tuo team. Ogni persona che tocca i tuoi account pubblicitari dovrebbe comprendere le basi: mai condividere token o cookie, mai installare estensioni browser non verificate, usare sempre i flussi OAuth ufficiali e segnalare immediatamente qualsiasi attività sospetta.

Cosa Fare Se Sospetti una Compromissione

Se credi che un token o un cookie sia stato compromesso:

1. Disconnetti immediatamente tutte le sessioni: Impostazioni Facebook > Protezione e accesso > Dove sei connesso > Disconnetti da tutte le sessioni
2. Cambia la tua password: Questo invalida i cookie di sessione (ma non tutti i tipi di token)
3. Revoca tutti i permessi delle app: Rimuovi ogni app connessa e riautorizza solo quelle di cui ti fidi
4. Controlla le impostazioni del Business Manager: Cerca nuovi utenti, permessi cambiati o utenti di sistema non familiari
5. Rivedi l'attività pubblicitaria recente: Controlla campagne non autorizzate, modifiche di budget o modifiche alle creatività
6. Abilita gli avvisi di login: Imposta le notifiche per login non riconosciuti
7. Contatta il supporto Meta: Se vedi prove di accesso non autorizzato, segnalalo attraverso il Meta Business Help Center

Il Quadro Generale: Perché Questo È Importante per il Tuo Business

I rischi di sicurezza descritti qui non sono minacce astratte — sono la realtà operativa di un'industria dove i confini tra strumenti legittimi e servizi grey-hat sono spesso deliberatamente sfumati. Ogni volta che condividi un token, importi cookie in un browser anti-detect o installi un'estensione che non hai verificato a fondo, stai facendo un compromesso tra comodità e sicurezza.

Per una comprensione più approfondita di cosa succede quando Meta scopre l'uso di strumenti non autorizzati, leggi la nostra guida sulle violazioni dei Termini di Servizio Meta e le loro conseguenze. E se stai attualmente usando cloaking o altre tecniche di evasione, la nostra analisi sui rischi del cloaking nel 2026 spiega perché la finestra per questi metodi si sta chiudendo rapidamente.

Le piattaforme pubblicitarie che sopravviveranno e cresceranno sono quelle costruite su accesso API ufficiale, flussi OAuth e pratiche di sicurezza trasparenti. L'era dell'estrazione di token e della condivisione di cookie sta finendo — non per argomenti morali, ma perché i rischi finanziari e operativi sono diventati indifendibili.