Sono stati disseminati su Internet, e sono facilmente reperibili, i dati
personali di oltre 500 milioni di utenti di Facebook. Questi dati includono il
nome e cognome dell’utente, la sua situazione relazionale, la data di nascita,
l’indirizzo di casa, il luogo di lavoro e il numero di telefono.
Gli account italiani colpiti sono circa 36 milioni; quelli svizzeri sono circa
1,6 milioni. Un elenco della quantità di account colpiti in ciascun paese è
per esempio
qui.
Il pericolo principale, al momento, è che i numeri di telefono che gli utenti
hanno affidato a Facebook possano essere usati per molestie e per tentativi di
furto d’identità. Chi è vittima di partner o ex partner violenti e molestatori
è particolarmente a rischio.
In generale, chi ha affidato al social network un numero di telefono
confidenziale deve presumere che quel numero non sia più confidenziale e che
chiunque possa associarlo al suo nome. Sono già stati trovati i numeri di
telefono personali di politici e celebrità, compresi Donald Trump, ex
presidente degli Stati Uniti, e Mark Zuckerberg, boss di Facebook.
Al momento c’è un solo sito affidabile che permette di sapere se il proprio
numero è fra quelli resi pubblici:
Haveibeenpwned.com. Potete
provare
a immettere il vostro numero di telefono, con prefisso internazionale ma senza
00 iniziale (il “+” non è necessario e viene ignorato), oppure l’indirizzo di
mail che avete associato al vostro account Facebook. Diffidate di qualunque
altro sito che proponga servizi analoghi.
Un sito italiano,
Haveibeenfacebooked.com, che
offriva in buona fede questo controllo, ha deciso di sospenderlo a seguito di
un
comunicato stampa
del Garante per la privacy italiano.
Consiglio a tutti di seguire le raccomandazioni di sicurezza pubblicate da
Il Post
e soprattutto di non usare il numero di telefono come metodo di conferma di
accesso (autenticazione a due fattori) e usare invece un’app apposita. E se
appena potete, smettete di usare Facebook, o perlomeno dategli dati
inventati.
—
Sul versante tecnico, il dump di dati di Facebook è stato offerto
inizialmente su un noto sito di hacking a giugno 2020, come spiega
BleepingComputer.com. I dati risalgono a prima di settembre 2019.
Facebook ha
commentato
la disseminazione dei dati dicendo che sono il risultato di un’operazione di
scraping, non di una violazione dei suoi sistemi, e che oggi questo
scraping non sarebbe più possibile e comunque era vietato dalle regole
di Facebook (questa precisazione ha causato l’ilarità
di molti esperti, visto che pensare che i criminali rispettino le regole è
perlomeno ingenuo).
In ogni caso, è troppo tardi per oltre 500 milioni di utenti, che vedono
ancora una volta dimostrato il fatto che non si possono affidare dati
personali ai social network.
Mikko Hypponen di F-Secure ha
ipotizzato
che lo scraping sia stato effettuato creando una rubrica contenente
tutti i numeri di telefono del mondo e poi chiedendo a Facebook di trovare gli
“amici” presenti nella rubrica. Un
thread Twitter di Ashkan Soltani
riassume molti dettagli tecnici della vicenda, cita molti esempi di persone in
posizioni di responsabilità di cui sono stati resi pubblici i numeri di
telefono e sembra confermare la possibilità di una enumeration massiva
usata per fare scraping. Precisa inoltre che il dump include
anche numeri di telefono che erano stati impostati come “privati” e non
visibili a nessuno in Facebook.