Autore
Stefano Giolo
In questi giorni si sta parlando parecchio di un grosso furto di dati a Facebook, contrariamente alla gran parte delle altre volte in questo caso gli allarmismi hanno un fondamento piuttosto marcato.
Di questo furto si era già parlato nel 2019, e chi parla di ennesimo furto di dati, sbaglia. Tuttavia, fino a pochi mesi fa non c’era certezza su l’impatto di tale furto di dati né erano disponibili gli stessi su canali facilmente raggiungibili mentre da gennaio (forse prima) è stato reso semplice e alla portata di tutti accedervi.
Si parla di 533 milioni di utenti, di cui oltre 35 milioni in Italia, terzo paese in classifica. Significa che globalmente si parla di circa il 20% degli utenti Facebook nel mondo, ma considerato che in Italia ci sono poco meno di 60 milioni di abitanti, scremando tra gli anziani e i bambini 35 milioni di utenti colpiti probabilmente si avvicinano se non alla totalità almeno ad un numero decisamente elevato. Altri paesi fortemente coinvolti sono Egitto (44,8 milioni), Stati Uniti (32,3 milioni), Arabia Saudita (28,8 milioni), Francia (19,8 milioni).
Sembra che l’attacco abbia colpito principalmente chi ha fornito il proprio numero di telefono al social network, tutti o in parte.
Have I Been Pwned (https://haveibeenpwned.com/), di cui ho già parlato in Come gestire le password in modo sicuro? (https://wp.me/pQMJM-24Y) fornisce un metodo semplice e sicuro per verificare se il proprio indirizzo mail o numero di telefono sia coinvolto in tale furto. Nello specifico per inserire il numero di telefono va usato il formato internazionale, ad esempio se il numero è 3220nnnn1 va inserito per l’Italia +393220nnnn1.
Have I Been Pwned è un sito affidabile ed è meglio diffidare di altri servizi simili se non li si conosce: potrebbero essere un ulteriore metodo di furto di dati.
Haveibeenfacebooked.com, sito italiano era affidabile ma è stato bloccato dal garante della Privacy: se lo avete usato, non vi siete messi in pericolo.
Secondo l’ipotesi di Mikko Hypponen di F-Secure il furto di dati potrebbe essere stato effettuato “semplicemente” creando una rubrica elenco di tutti i numeri di telefono del mondo e chiedendo a Facebook di trovare gli amici presenti nella rubrica.
Sempre su twitter un thread di Ashkan Soltani elenca molti dettagli tra cui sembra risultare che l’attacco abbia colpito anche chi aveva impostato il numero di telefono come privato.
Come indicato da BleepingComputer (533 million Facebook users’ phone numbers leaked on hacker forum: https://www.bleepingcomputer.com/news/security/533-million-facebook-users-phone-numbers-leaked-on-hacker-forum/) i dati rubati da Facebook sono stati prima messi in offerta su un sito di hacking già a giugno 2020 e risalgono a prima di settembre 2019.
Sono presenti dati di persone importanti quali Donald Trump e lo stesso Mark Zuckerberg.
Il commento di Facebook sulla vicenda (The Facts on News Reports About Facebook Data: https://about.fb.com/news/2021/04/facts-on-news-reports-about-facebook-data/) è che sembra essere stata un’azione che si definisce scraping, raschiatura. Uno scraping, confermando la teoria di Mikko Hypponen, è l’operazione di recuperare grossi quantitativi di dati con un sistema automatizzato che faccia più o meno le stesse cose che potrebbe fare un utente comune: visitare pagine e salvare informazioni dalle pagine. Quindi senza il bisogno effettivo di un attacco ai server, o un furto da database. Attualmente sembra che questa operazione sia stata inibita e che non sia più possibile raccogliere un così grosso quantitativo di dati neppure attraverso lo scraping.
I rischi di questi dati nelle mani di un buon social engineer, sono parecchi. I dati sono sicuramente in gran parte validi e legati a persone reali. Possono essere utilizzati per l’invio di messaggi per truffe e phishing, resi maggiormente credibili dal fatto che la conoscenza dei dati sarà quasi certamente corretta. I numeri risultano anche divisi per nazione e quindi facilmente organizzabili. Erano comunque già disponibili da mesi quindi presumibilmente molti attacchi sono già avvenuti.
La conoscenza di dati sull’identità, indirizzi mail e numeri di telefono, tra l’altro, può essere usati per altre genere di truffe o per arricchire altre basi di dati.
Inoltre, non meno importante, chi è a rischio di stalking o violenza e ha scelto di cambiare numero di telefono per nascondersi, se ha inserito il numero in Facebook ora non può più considerare il proprio numero privato e deve considerarsi potenzialmente in pericolo.
Il danno è ormai fatto e i dati sono già stati diffusi, dopo aver verificato da Have I Been Pwned (https://haveibeenpwned.com/) se il proprio account è stato violato, è comunque consigliabile rimuovere il proprio numero di telefono dai servizi dove non è necessario.
Nello specifico per Facebook a questo indirizzo (https://www.facebook.com/settings?tab=account§ion=advertising_email&view) è possibile verificare se il proprio numero di telefono è presente nelle impostazioni di contatto ed eventualmente rimuoverlo.
Nel caso si voglia utilizzare l’autenticazione a due fattori che rende più sicuro l’accesso al sito in caso di furto delle credenziali chiedendo una conferma prima di lasciar accedere con user e password, è possibile attivarla o mantenerla attiva anche senza l’uso del numero di telefono tramite questo indirizzo (https://www.facebook.com/settings?tab=security) scegliendo “Usa l’autenticazione a due fattori” e “Modifica”. A quel punto sarà possibile scegliere un metodo di autenticazione diverso dal numero di telefono.
Articolo originale su staipa.it: https://wp.me/pQMJM-2i1
Stefano Giolo
On-line dal 09-04-2021 questa pagina
è stata consultata da 507 visitatori univoci.
Aggrega contenuto