Il Data breach di Facebook, cos'è realmente accaduto? La portata della vicenda è tale da coinvolgere tutti gli utenti del social network e non solo coloro direttamente coinvolti nel famigerato leak. Dove sono finiti i nostri dati
A partire dal 2019 un gruppo di hacker ha sfruttato una funzionalità che allora permetteva di cercare un utente Facebook attraverso il numero di telefono. Grazie a questa tecnica potevano individuare un profilo, copiare ed esportare una lista degli amici di questo, a meno che non fosse impostata come privata. Per ogni contatto esportato, sulla lista poi comparivano informazioni come l’ID del portale, nome e cognome, spesso città di residenza e provenienza, grado di istruzione eccetera.
Questo è scraping: una raccolta di informazioni superficiali, sfruttando le disattenzioni dei portali.
Non si può parlare di leak, ma di certo è un data breach coi fiocchi, in quanto i dati sono stati raccolti “uno a uno” utilizzando i servizi della piattaforma stessa. Per questo il famoso file incriminato è strutturato con numeri sequenziali: gli hacker sono partiti da +10000000001 e hanno ottenuto 533 mln di profili chiedendo a Facebook l’utente di riferimento.
Da qualche anno non si può più effettuare la ricerca di utente tramite numero telefonico, ma la versione mobile di Messanger, il sistema di messaggistica di Facebook, ha supportato questa caratteristica per un periodo di tempo più prolungato, consentendo verosimilmente l’estrazione di ancora più dati.
Una degli aspetti più bizzarri è che sebbene in passato non avessero mai fornito il numero di cellulare a Facebook nei file trafugati compare comunque.
Che tipo di dati ci sono in rete ora? Cosa può succedere?
In Italia si parla di 36 milioni di numeri di telefono e 440 mila email. Gli altri dati sono, tra gli altri, l’ID del profilo nome e cognome, status relazionale, città di provenienza. Non sempre si tratta di informazioni complete, dipende da quanto il social ci conosce.
Le possibili minacce, purtroppo, sono molteplici:
- Il rischio di SIM swap è certamente uno dei più reali. Sapendo qual è il tuo numero di cellulare e ipotizzando i servizi a cui ti sei registrato è possibile provare ad effettuare il log in ai suddetti servizi col numero di cellulare o tentare di recuperare il codice di controllo con tecniche di sostituzione di persona stile truffa telefonica. Se pensate di essere esenti da questo pericolo, fate attenzione comunque: se usate il numero di telefono come ricevente per il pin di autenticazione per la posta elettronica, la Banca o letteralmente ogni altro servizio siete a rischio di truffa.
La tua azienda ha delle misure per contrastare la fuga di dati?
- Un altro rischio è collegato al telemarketing selvaggio. Ne abbiamo parlato in questo articolo. Probabilmente ssiete anche voi invasi da telefonate di call center che hanno deciso di sfruttare questa occasione per approvvigionare letteralmente milioni di nuovi contatti.
- Un terzo pericolo molto concreto è collegato al vostro UID di Facebook: infatti, anche se utilizzate pseudonimi sul sito si può risalire attraverso quello e il vostro numero di cellulare ad altri dati personali. Se siete un personaggio pubblico, impegnato nel sociale o che ha preso posizioni sgradite ad una minoranza rumorosa e urticante magari non avrete voglia (come gli altri) che i vostri dati e i vostri numeri siano alla mercé di tutti.
Al momento efficaci contromisure non ce ne sono.
Ormai i file sono parecchio circolati su internet, per cui non è possibile limitare la diffusione dei dati trafugati. Il Garante per la protezione dei dati personali si è dato da fare nel corso della settimana per chiudere tanti domini che diffondevano i dati fuoriusciti illegalmente, anche se alcuni di questi portali si erano proposti, con buone intenzioni, di dare una mano alle persone colpite.
Sai che se smarrisci un cellulare o un computer aziendale sei a rischio di fuga di dati?