TuttiConnessi > un device per ogni studente.
DONA ORA a partire da 5€.

Blog > News & Partnership | 19 Aprile 2021

La lente d’ingrandimento sul maxi buco dei dati trafugati da Facebook

Privacy Facebook

Per te il giorno in cui ho causato la fuoriuscita dei tuoi dati insieme a quelli di altri 533 milioni di utenti è stato il più importante della tua vita, ma per me? Per me è stato un giorno qualsiasi”. Mark Zuckerberg (probabilmente) 

 

(a cura di Smart Flow)

 

Perché ci permettiamo di iniziare quella che dovrebbe essere una riflessione responsabile su un tema molto serio e in un “contenitore autorevole” con una citazione diretta da “Street Fighter”? Un po’ ci piace pensare che “Zuck” ami vestirsi come M. Bison, il villain interpretato da Raul Julia in uno dei b movie più cult degli ultimi trent’anni. 

 

In verità la situazione è davvero seria. Sebbene per molti di noi il giorno (o per meglio dire i mesi) in cui Facebook permetteva di effettuare lo scraping di milioni di dati personali in tutto il mondo non è il più importante nella vita, la portata della vicenda è tale da coinvolgere tutti gli utenti del social network e non solo coloro direttamente coinvolti nel famigerato leak.

 

Iniziamo subito con una doverosa premessa. I file che contengono i milioni di dati sono facilmente individuabili sul web, tuttavia vi consigliamo di non procedere oltre con la ricerca: in primo luogo, si deve avere una minima dimestichezza con il materiale che si troverebbe. Secondo, si tratta di avere a che fare con dati personali ottenuti senza autorizzazione, quindi c’è il rischio di “passare dei guai”.

 

Se si vuole controllare il proprio numero di telefono, si può fare attraverso il portale “haveibeenpwneddi Troy Hunt, famoso ricercatore e speaker di Web Security.

 

Si può parlare di data breach

Come ha confermato la stessa azienda di Menlo Park, a partire dal 2019 un (gruppo di?) hacker ha sfruttato una funzionalità che allora permetteva di cercare un utente Facebook attraverso il numero di telefono. Grazie a questa tecnica poteva(no) individuare un profilo, copiare ed esportare una lista degli amici di questo, a meno che non fosse impostata come privata. Per ogni contatto esportato sulla lista comparivano poi informazioni come l’ID del portale, nome e cognome, spesso città di residenza e provenienza, grado di istruzione eccetera. Questo è lo scraping: una raccolta di informazioni superficiali, sfruttando le disattenzioni dei portali.

 

Non si può parlare di leak, ma di certo è un data breach “coi fiocchi” in quanto i dati sono stati raccolti “uno a uno” utilizzando i servizi della piattaforma stessa. Per questo il famoso file incriminato è strutturato con numeri sequenziali: gli hacker sono partiti da +10000000001 e hanno ottenuto 533 mln di profili chiedendo a Facebook l’utente di riferimento.

 

Da un paio di anni non si può più effettuare la ricerca di utente tramite numero telefonico, ma la versione mobile di Messenger, il sistema di messaggistica di Facebook, ha supportato questa caratteristica per un periodo di tempo più prolungato, consentendo verosimilmente l’estrazione di ancora più dati.

 

Una degli aspetti più bizzarri che alcune persone stanno verificando in questi giorni, è che sebbene in passato non avessero mai fornito il numero di cellulare a Facebook nei file trafugati compare comunque. Per questo fenomeno ci possono essere tante soluzioni possibili, a noi ne vengono in mente un paio:

 

  • autenticazione multi fattore per accedere alla piattaforma;
  • qualcuno si è registrato al social non con il proprio numero ma con quello ora presente nell’anagrafica senza dirlo. 

 

Numerosi sono anche i casi di persone che dicono di aver subito la esfiltrazione dei propri dati ma che il telefono non corrisponde al loro. In questo caso ci potrebbero essere altre due ipotesi:

  • il database può essere l’unione tra quello raccolto su Facebook con altri dati raccolti in maniera simile (Linkedin, per esempio);
  • il sistema dava accesso ai database delle rubriche telefoniche di ogni dispositivo e sincronizzando varie rubriche il sistema associa il numero di telefono che altri utenti associano con il mio.

 

Che tipo di dati ci sono in rete ora? Cosa può succedere?

I dati online sono quelli di cui avrete già letto e i numeri sono impressionanti: in Italia si parla di 36 milioni di numeri di telefono e 440 mila email (praticamente tutti gli utenti Facebook del “bel Paese”). Gli altri dati sono l’ID del profilo nome e cognome, status relazionale, città di provenienza. Non sempre si tratta di informazioni complete, dipende da quanto il social ci conosce. Le possibili minacce, purtroppo, sono molteplici.

 

Il rischio di SIM swap è certamente uno dei più reali. Sapendo qual è il tuo numero di cellulare e ipotizzando i servizi a cui ti sei registrato (ipotesi che posso corroborare tenendo d’occhio i social, tra l’altro) posso provare a effettuare il log in ai suddetti servizi con il numero di cellulare o tentare di recuperare il codice di controllo con tecniche di sostituzione di persona stile truffa telefonica.

 

Se pensate di essere esenti da questo pericolo solo perché il vostro portafoglio elettronico non trabocca di Bitcoin, fate attenzione comunque: se usate il numero di telefono come ricevente per il PIN di autenticazione per la posta elettronica, la Banca o ogni altro servizio, siete a rischio di truffa.

 

Un altro rischio è collegato al telemarketing selvaggio. Vi sembra meno pericoloso del quadro prospettato in precedenza? Probabilmente sì, tuttavia immaginate di dover passare i prossimi mesi a lottare contro nefasti call center che hanno deciso di sfruttare questa occasione per approvvigionare letteralmente milioni di nuovi contatti.

 

Un terzo pericolo molto concreto è collegato al vostro UID di Facebook. Anche se utilizzate pseudonimi, infatti, sul sito si può risalire attraverso quello e il vostro numero di cellulare ad altri dati personali. Se siete un personaggio pubblico, impegnato nel sociale o che ha preso posizioni sgradite a una minoranza rumorosa magari non avrete voglia (come gli altri) che i vostri dati e i vostri numeri siano alla mercé di tutti.

 

Al momento efficaci contromisure non ce ne sono. Ormai i file sono circolati su internet per cui non è possibile limitare la diffusione dei dati trafugati. Il Garante per la protezione dei dati personali si è dato da fare nel corso della settimana per chiudere tanti domini che diffondevano i dati fuoriusciti illegalmente, anche se alcuni di questi portali si erano proposti, con buone intenzioni, di dare una mano alle persone colpite.

 

In conclusione, quali sono i prossimi passi per noi utenti

Ritorniamo al discorso con cui abbiamo iniziato. La situazione è seria perché dal modo in cui la comunità internazionale, la comunità degli utenti di Facebook e Facebook stessa reagiranno alla vicenda si determinerà un percorso importante nella gestione dei dati personali di ciascuno di noi.

 

In primo luogo, Facebook non si può difendere adducendo come scusa che i perpetratori hanno approfittato di una falla che non è più in attività nel suo sistema. Il Garante italiano, come altri Enti corrispondenti nel mondo, ha chiesto alla compagnia americana di attivare un servizio di verifica sul portale per dar modo agli utenti di controllare facilmente se numero o e-mail siano stati esfiltrati. 

 

Per quanto riguarda noi utenti, che ogni settimana veniamo a conoscenza di casi di data breach sempre più importanti sia come numeri sia come entità coinvolte, dobbiamo mantenere costante la soglia di attenzione. Il pericolo di assuefarsi a queste notizie è sempre più alto, ma siccome si parla di dati personali, una moneta di scambio fondamentale nelle transazioni digitali del web e dei social network, impariamo a tenere ben stretta la nostra identità tout court

 

Infine, è consigliabile non affidarsi a canali ambigui per il recupero dei dati che sono stati pubblicati online perché non c’è più possibilità di secretare quelle informazioni. C’è anzi il rischio di esporsi ancora di più, consegnando altri dati personali (e soldi) a compagini poco raccomandabili, con la prospettiva di dover “sganciare” in un futuro ancora più denaro.

 

Cosa può essere peggio di trovarsi tra quei 36 milioni di italiani colpiti dallo scraping su Facebook nel 2019? Essere iscritto anche a LinkedIn.

 


 

Synesthesia collabora con Smart Flow, digital experience company italiana che offre a grandi aziende, PMI, Pubblica Amministrazione e professionisti le competenze organizzative, tecniche e legali per indirizzare e mantenere la compliance al GDPR.

 

Se hai domande o feedback, scrivici. Saremo contenti di leggere le tue richieste o le tue opinioni.

 

 

Condividi l'articolo su:
icon_fb icon_twitter

ISCRIVITI ALLA NOSTRA NEWSLETTER

Il modo migliore per rimanere in contatto con noi - Privacy Policy

Synesthesia srl © 2021 - P.IVA 10502360018 Reg.Impr: IT-10502360018 - REA: TO1138546 Cap.Soc.: 68.550€ i.v. | Privacy Policy - Cookie Policy