Pubblicati i dati riservati di 533 milioni di account Facebook: le cose da sapere

Sono stati disseminati su Internet, e sono facilmente reperibili, i dati personali di oltre 500 milioni di utenti di Facebook. Questi dati includono il nome e cognome dell’utente, la sua situazione relazionale, la data di nascita, l’indirizzo di casa, il luogo di lavoro e il numero di telefono. 

Gli account italiani colpiti sono circa 36 milioni; quelli svizzeri sono circa 1,6 milioni. Un elenco della quantità di account colpiti in ciascun paese è per esempio qui.

Il pericolo principale, al momento, è che i numeri di telefono che gli utenti hanno affidato a Facebook possano essere usati per molestie e per tentativi di furto d’identità. Chi è vittima di partner o ex partner violenti e molestatori è particolarmente a rischio.

In generale, chi ha affidato al social network un numero di telefono confidenziale deve presumere che quel numero non sia più confidenziale e che chiunque possa associarlo al suo nome. Sono già stati trovati i numeri di telefono personali di politici e celebrità, compresi Donald Trump, ex presidente degli Stati Uniti, e Mark Zuckerberg, boss di Facebook.

Al momento c’è un solo sito affidabile che permette di sapere se il proprio numero è fra quelli resi pubblici: Haveibeenpwned.com. Potete provare a immettere il vostro numero di telefono, con prefisso internazionale ma senza 00 iniziale (il “+” non è necessario e viene ignorato), oppure l’indirizzo di mail che avete associato al vostro account Facebook. Diffidate di qualunque altro sito che proponga servizi analoghi. 

Un sito italiano, Haveibeenfacebooked.com, che offriva in buona fede questo controllo, ha deciso di sospenderlo a seguito di un comunicato stampa del Garante per la privacy italiano.

Consiglio a tutti di seguire le raccomandazioni di sicurezza pubblicate da Il Post e soprattutto di non usare il numero di telefono come metodo di conferma di accesso (autenticazione a due fattori) e usare invece un’app apposita. E se appena potete, smettete di usare Facebook, o perlomeno dategli dati inventati.

---

Sul versante tecnico, il dump di dati di Facebook è stato offerto inizialmente su un noto sito di hacking a giugno 2020, come spiega BleepingComputer.com. I dati risalgono a prima di settembre 2019.

Facebook ha commentato la disseminazione dei dati dicendo che sono il risultato di un’operazione di scraping, non di una violazione dei suoi sistemi, e che oggi questo scraping non sarebbe più possibile e comunque era vietato dalle regole di Facebook (questa precisazione ha causato l’ilarità di molti esperti, visto che pensare che i criminali rispettino le regole è perlomeno ingenuo).

In ogni caso, è troppo tardi per oltre 500 milioni di utenti, che vedono ancora una volta dimostrato il fatto che non si possono affidare dati personali ai social network.

Mikko Hypponen di F-Secure ha ipotizzato che lo scraping sia stato effettuato creando una rubrica contenente tutti i numeri di telefono del mondo e poi chiedendo a Facebook di trovare gli “amici” presenti nella rubrica. Un thread Twitter di Ashkan Soltani riassume molti dettagli tecnici della vicenda, cita molti esempi di persone in posizioni di responsabilità di cui sono stati resi pubblici i numeri di telefono e sembra confermare la possibilità di una enumeration massiva usata per fare scraping. Precisa inoltre che il dump include anche numeri di telefono che erano stati impostati come “privati” e non visibili a nessuno in Facebook.