Recentemente i dati (nomi, foto, numeri di telefono) di circa 500.000 account Facebook sono stati violati. La portata della vicenda è tale da coinvolgere tutti gli utenti del social network e non solo coloro che sono stati direttamente interessati dal famigerato leak.
In questo articolo gli amici di Smart Flow hanno analizzato i contorni di questa vicenda per avere una visione più chiara di uno dei social network più utilizzati dagli italiani.
“Per te il giorno in cui ho causato la fuoriuscita dei tuoi dati insieme a quelli di altri 533 milioni di utenti è stato il più importante della tua vita, ma per me? Per me è stato un giorno qualsiasi”. Mark Zuckerberg (probabilmente)
(a cura di Smart Flow)
Perché ci permettiamo di iniziare quella che dovrebbe essere una riflessione responsabile su un tema molto serio e in un “contenitore autorevole” con una citazione diretta da “Street Fighter”? Un po’ ci piace pensare che “Zuck” ami vestirsi come M. Bison, il villain interpretato da Raul Julia in uno dei b movie più cult degli ultimi trent’anni.
In verità la situazione è davvero seria. Sebbene per molti di noi il giorno (o per meglio dire i mesi) in cui Facebook permetteva di effettuare lo scraping di milioni di dati personali in tutto il mondo non è il più importante nella vita, la portata della vicenda è tale da coinvolgere tutti gli utenti del social network e non solo coloro direttamente coinvolti nel famigerato leak.
Iniziamo subito con una doverosa premessa. I file che contengono i milioni di dati sono facilmente individuabili sul web, tuttavia vi consigliamo di non procedere oltre con la ricerca: in primo luogo, si deve avere una minima dimestichezza con il materiale che si troverebbe. Secondo, si tratta di avere a che fare con dati personali ottenuti senza autorizzazione, quindi c’è il rischio di “passare dei guai”.
Se si vuole controllare il proprio numero di telefono, si può fare attraverso il portale “haveibeenpwned” di Troy Hunt, famoso ricercatore e speaker di Web Security.
Come ha confermato la stessa azienda di Menlo Park, a partire dal 2019 un (gruppo di?) hacker ha sfruttato una funzionalità che allora permetteva di cercare un utente Facebook attraverso il numero di telefono. Grazie a questa tecnica poteva(no) individuare un profilo, copiare ed esportare una lista degli amici di questo, a meno che non fosse impostata come privata. Per ogni contatto esportato sulla lista comparivano poi informazioni come l’ID del portale, nome e cognome, spesso città di residenza e provenienza, grado di istruzione eccetera. Questo è lo scraping: una raccolta di informazioni superficiali, sfruttando le disattenzioni dei portali.
Non si può parlare di leak, ma di certo è un data breach “coi fiocchi” in quanto i dati sono stati raccolti “uno a uno” utilizzando i servizi della piattaforma stessa. Per questo il famoso file incriminato è strutturato con numeri sequenziali: gli hacker sono partiti da +10000000001 e hanno ottenuto 533 mln di profili chiedendo a Facebook l’utente di riferimento.
Da un paio di anni non si può più effettuare la ricerca di utente tramite numero telefonico, ma la versione mobile di Messenger, il sistema di messaggistica di Facebook, ha supportato questa caratteristica per un periodo di tempo più prolungato, consentendo verosimilmente l’estrazione di ancora più dati.
Una degli aspetti più bizzarri che alcune persone stanno verificando in questi giorni, è che sebbene in passato non avessero mai fornito il numero di cellulare a Facebook nei file trafugati compare comunque. Per questo fenomeno ci possono essere tante soluzioni possibili, a noi ne vengono in mente un paio:
Numerosi sono anche i casi di persone che dicono di aver subito la esfiltrazione dei propri dati ma che il telefono non corrisponde al loro. In questo caso ci potrebbero essere altre due ipotesi:
I dati online sono quelli di cui avrete già letto e i numeri sono impressionanti: in Italia si parla di 36 milioni di numeri di telefono e 440 mila email (praticamente tutti gli utenti Facebook del “bel Paese”). Gli altri dati sono l’ID del profilo nome e cognome, status relazionale, città di provenienza. Non sempre si tratta di informazioni complete, dipende da quanto il social ci conosce. Le possibili minacce, purtroppo, sono molteplici.
Il rischio di SIM swap è certamente uno dei più reali. Sapendo qual è il tuo numero di cellulare e ipotizzando i servizi a cui ti sei registrato (ipotesi che posso corroborare tenendo d’occhio i social, tra l’altro) posso provare a effettuare il log in ai suddetti servizi con il numero di cellulare o tentare di recuperare il codice di controllo con tecniche di sostituzione di persona stile truffa telefonica.
Se pensate di essere esenti da questo pericolo solo perché il vostro portafoglio elettronico non trabocca di Bitcoin, fate attenzione comunque: se usate il numero di telefono come ricevente per il PIN di autenticazione per la posta elettronica, la Banca o ogni altro servizio, siete a rischio di truffa.
Un altro rischio è collegato al telemarketing selvaggio. Vi sembra meno pericoloso del quadro prospettato in precedenza? Probabilmente sì, tuttavia immaginate di dover passare i prossimi mesi a lottare contro nefasti call center che hanno deciso di sfruttare questa occasione per approvvigionare letteralmente milioni di nuovi contatti.
Un terzo pericolo molto concreto è collegato al vostro UID di Facebook. Anche se utilizzate pseudonimi, infatti, sul sito si può risalire attraverso quello e il vostro numero di cellulare ad altri dati personali. Se siete un personaggio pubblico, impegnato nel sociale o che ha preso posizioni sgradite a una minoranza rumorosa magari non avrete voglia (come gli altri) che i vostri dati e i vostri numeri siano alla mercé di tutti.
Al momento efficaci contromisure non ce ne sono. Ormai i file sono circolati su internet per cui non è possibile limitare la diffusione dei dati trafugati. Il Garante per la protezione dei dati personali si è dato da fare nel corso della settimana per chiudere tanti domini che diffondevano i dati fuoriusciti illegalmente, anche se alcuni di questi portali si erano proposti, con buone intenzioni, di dare una mano alle persone colpite.
Ritorniamo al discorso con cui abbiamo iniziato. La situazione è seria perché dal modo in cui la comunità internazionale, la comunità degli utenti di Facebook e Facebook stessa reagiranno alla vicenda si determinerà un percorso importante nella gestione dei dati personali di ciascuno di noi.
In primo luogo, Facebook non si può difendere adducendo come scusa che i perpetratori hanno approfittato di una falla che non è più in attività nel suo sistema. Il Garante italiano, come altri Enti corrispondenti nel mondo, ha chiesto alla compagnia americana di attivare un servizio di verifica sul portale per dar modo agli utenti di controllare facilmente se numero o e-mail siano stati esfiltrati.
Per quanto riguarda noi utenti, che ogni settimana veniamo a conoscenza di casi di data breach sempre più importanti sia come numeri sia come entità coinvolte, dobbiamo mantenere costante la soglia di attenzione. Il pericolo di assuefarsi a queste notizie è sempre più alto, ma siccome si parla di dati personali, una moneta di scambio fondamentale nelle transazioni digitali del web e dei social network, impariamo a tenere ben stretta la nostra identità tout court.
Infine, è consigliabile non affidarsi a canali ambigui per il recupero dei dati che sono stati pubblicati online perché non c’è più possibilità di secretare quelle informazioni. C’è anzi il rischio di esporsi ancora di più, consegnando altri dati personali (e soldi) a compagini poco raccomandabili, con la prospettiva di dover “sganciare” in un futuro ancora più denaro.
Cosa può essere peggio di trovarsi tra quei 36 milioni di italiani colpiti dallo scraping su Facebook nel 2019? Essere iscritto anche a LinkedIn.
Synesthesia collabora con Smart Flow, digital experience company italiana che offre a grandi aziende, PMI, Pubblica Amministrazione e professionisti le competenze organizzative, tecniche e legali per indirizzare e mantenere la compliance al GDPR.
Se hai domande o feedback, scrivici. Saremo contenti di leggere le tue richieste o le tue opinioni.
Lo realizzeremo con amore e passione
Il nostro team è a tua disposizione