Staipa’s Blog

Il Blog di Stefano Giolo

Parliamo dei dati rubati a Facebook?

Tempo di lettura 4 minuti

In questi giorni si sta parlando parecchio di un grosso furto di dati a Facebook, contrariamente alla gran parte delle altre volte in questo caso gli allarmismi hanno un fondamento piuttosto marcato.

Di questo furto si era già parlato nel 2019, e chi parla di ennesimo furto di dati, sbaglia. Tuttavia, fino a pochi mesi fa non c’era certezza su l’impatto di tale furto di dati né erano disponibili gli stessi su canali facilmente raggiungibili mentre da gennaio (forse prima) è stato reso semplice e alla portata di tutti accedervi.

Qual è l’entità del furto di dati da Facebook?

Si parla di 533 milioni di utenti, di cui oltre 35 milioni in Italia, terzo paese in classifica. Significa che globalmente si parla di circa il 20% degli utenti Facebook nel mondo, ma considerato che in Italia ci sono poco meno di 60 milioni di abitanti, scremando tra gli anziani e i bambini 35 milioni di utenti colpiti probabilmente si avvicinano se non alla totalità almeno ad un numero decisamente elevato. Altri paesi fortemente coinvolti sono Egitto (44,8 milioni), Stati Uniti (32,3 milioni), Arabia Saudita (28,8 milioni), Francia (19,8 milioni).

Esiste un modo per sapere se il mio account è coinvolto?

Sembra che l’attacco abbia colpito principalmente chi ha fornito il proprio numero di telefono al social network, tutti o in parte.

Have I Been Pwned (https://haveibeenpwned.com/), di cui ho già parlato in Come gestire le password in modo sicuro? (https://wp.me/pQMJM-24Y) fornisce un metodo semplice e sicuro per verificare se il proprio indirizzo mail o numero di telefono sia coinvolto in tale furto. Nello specifico per inserire il numero di telefono va usato il formato internazionale, ad esempio se il numero è 3220nnnn1 va inserito per l’Italia +393220nnnn1.

Have I Been Pwned è un sito affidabile ed è meglio diffidare di altri servizi simili se non li si conosce: potrebbero essere un ulteriore metodo di furto di dati.

Haveibeenfacebooked.com, sito italiano era affidabile ma è stato bloccato dal garante della Privacy: se lo avete usato, non vi siete messi in pericolo.

Come è stato possibile?

Secondo l’ipotesi di Mikko Hypponen di F-Secure il furto di dati potrebbe essere stato effettuato “semplicemente” creando una rubrica elenco di tutti i numeri di telefono del mondo e chiedendo a Facebook di trovare gli amici presenti nella rubrica.

Sempre su twitter un thread di Ashkan Soltani elenca molti dettagli tra cui sembra risultare che l’attacco abbia colpito anche chi aveva impostato il numero di telefono come privato.

Come indicato da  BleepingComputer (533 million Facebook users’ phone numbers leaked on hacker forum: https://www.bleepingcomputer.com/news/security/533-million-facebook-users-phone-numbers-leaked-on-hacker-forum/) i dati rubati da Facebook sono stati prima messi in offerta su un sito di hacking già a giugno 2020 e risalgono a prima di settembre 2019.

Sono presenti dati di persone importanti quali Donald Trump e lo stesso Mark Zuckerberg.

Come ha commentato Facebook il furto di dati?

Il commento di Facebook sulla vicenda (The Facts on News Reports About Facebook Data: https://about.fb.com/news/2021/04/facts-on-news-reports-about-facebook-data/) è che sembra essere stata un’azione che si definisce scraping, raschiatura. Uno scraping, confermando la teoria di Mikko Hypponen, è l’operazione di recuperare grossi quantitativi di dati con un sistema automatizzato che faccia più o meno le stesse cose che potrebbe fare un utente comune: visitare pagine e salvare informazioni dalle pagine. Quindi senza il bisogno effettivo di un attacco ai server, o un furto da database. Attualmente sembra che questa operazione sia stata inibita e che non sia più possibile raccogliere un così grosso quantitativo di dati neppure attraverso lo scraping.

Quali sono i rischi?

I rischi di questi dati nelle mani di un buon social engineer, sono parecchi. I dati sono sicuramente in gran parte validi e legati a persone reali. Possono essere utilizzati per l’invio di messaggi per truffe e phishing, resi maggiormente credibili dal fatto che la conoscenza dei dati sarà quasi certamente corretta. I numeri risultano anche divisi per nazione e quindi facilmente organizzabili. Erano comunque già disponibili da mesi quindi presumibilmente molti attacchi sono già avvenuti.

La conoscenza di dati sull’identità, indirizzi mail e numeri di telefono, tra l’altro, può essere usati per altre genere di truffe o per arricchire altre basi di dati.

Inoltre, non meno importante, chi è a rischio di stalking o violenza e ha scelto di cambiare numero di telefono per nascondersi, se ha inserito il numero in Facebook ora non può più considerare il proprio numero privato e deve considerarsi potenzialmente in pericolo.

Come rimuovere il proprio numero da Facebook

Il danno è ormai fatto e i dati sono già stati diffusi, dopo aver verificato da Have I Been Pwned (https://haveibeenpwned.com/) se il proprio account è stato violato, è comunque consigliabile rimuovere il proprio numero di telefono dai servizi dove non è necessario.

Nello specifico per Facebook a questo indirizzo (https://www.facebook.com/settings?tab=account&section=advertising_email&view) è possibile verificare se il proprio numero di telefono è presente nelle impostazioni di contatto ed eventualmente rimuoverlo.

Nel caso si voglia utilizzare l’autenticazione a due fattori che rende più sicuro l’accesso al sito in caso di furto delle credenziali chiedendo una conferma prima di lasciar accedere con user e password, è possibile attivarla o mantenerla attiva anche senza l’uso del numero di telefono tramite questo indirizzo (https://www.facebook.com/settings?tab=security) scegliendo “Usa l’autenticazione a due fattori” e “Modifica”. A quel punto sarà possibile scegliere un metodo di autenticazione diverso dal numero di telefono.

Leggendo questo articolo ti sono venute delle domande a cui potrei rispondere nei prossimi articoli?

Qui puoi trovare tutte le domande semplici: www.staipa.it/blog/LeDomandeSemplici


Conferenze

Sono disponibile per l'organizzazione di conferenze su Uso consapevole delle tecnologie, e su Come riconoscere le Fake News, o altri temi analoghi. Potete contattarmi attraverso i miei contatti su questo sito. Le conferenze possono essere declinate per formazione per adolescenti, formazione per genitori o formazione per insegnanti. Potete visitare l'apposita pagina Conferenze e Corsi per maggiori informazioni.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Scroll Up

Questo sito usa cookies per fornirti la migliore esperienza. Se sei d'accordo clicca sul tasto 'Accetta cookies', altrimenti controlla la privacy cookies policy e scegli nel dettaglio.

Impostazioni Cookie

Di seguito puoi scegliere quale tipo di cookie consentire su questo sito Web. Fai clic sul pulsante "Salva impostazioni cookie" per applicare la tua scelta.

FunzionaliQuesto sito utilizza cookie funzionali. Questi cookie sono necessari per farlo funzionare.

AnaliticiQuesto sito utilizza cookie analitici per consentire di analizzarne l'uso e le visite alle pagine allo scopo di migliorare l'esperienza utente.

Social mediaQuesto sito web inserisce cookie di social media per mostrarti contenuti di terze parti come YouTube e Twitter. Questi cookie possono tracciare i tuoi dati personali.

AltriQuesto sito inserisce cookie di terze parti da altri servizi di terze parti che non sono analitici, social media o pubblicitari.