Gli account italiani colpiti sono circa 36 milioni; quelli svizzeri sono circa
1,6 milioni. Un elenco della quantità di account colpiti in ciascun paese è
per esempio
qui.
Il pericolo principale, al momento, è che i numeri di telefono che gli utenti
hanno affidato a Facebook possano essere usati per molestie e per tentativi di
furto d’identità. Chi è vittima di partner o ex partner violenti e molestatori
è particolarmente a rischio.
In generale, chi ha affidato al social network un numero di telefono
confidenziale deve presumere che quel numero non sia più confidenziale e che
chiunque possa associarlo al suo nome. Sono già stati trovati i numeri di
telefono personali di politici e celebrità, compresi Donald Trump, ex
presidente degli Stati Uniti, e Mark Zuckerberg, boss di Facebook.
Al momento c’è un solo sito affidabile che permette di sapere se il proprio numero è fra quelli resi pubblici: Haveibeenpwned.com. Potete provare a immettere il vostro numero di telefono, con prefisso internazionale ma senza 00 iniziale (il “+” non è necessario e viene ignorato), oppure l’indirizzo di mail che avete associato al vostro account Facebook. Diffidate di qualunque altro sito che proponga servizi analoghi.
Un sito italiano,
Haveibeenfacebooked.com, che
offriva in buona fede questo controllo, ha deciso di sospenderlo a seguito di
un
comunicato stampa
del Garante per la privacy italiano.
Consiglio a tutti di seguire le raccomandazioni di sicurezza pubblicate da
Il Post
e soprattutto di non usare il numero di telefono come metodo di conferma di
accesso (autenticazione a due fattori) e usare invece un’app apposita. E se
appena potete, smettete di usare Facebook, o perlomeno dategli dati
inventati.
---
Sul versante tecnico, il dump di dati di Facebook è stato offerto inizialmente su un noto sito di hacking a giugno 2020, come spiega BleepingComputer.com. I dati risalgono a prima di settembre 2019.
Facebook ha commentato la disseminazione dei dati dicendo che sono il risultato di un’operazione di scraping, non di una violazione dei suoi sistemi, e che oggi questo scraping non sarebbe più possibile e comunque era vietato dalle regole di Facebook (questa precisazione ha causato l’ilarità di molti esperti, visto che pensare che i criminali rispettino le regole è perlomeno ingenuo).
In ogni caso, è troppo tardi per oltre 500 milioni di utenti, che vedono ancora una volta dimostrato il fatto che non si possono affidare dati personali ai social network.
Mikko Hypponen di F-Secure ha
ipotizzato
che lo scraping sia stato effettuato creando una rubrica contenente
tutti i numeri di telefono del mondo e poi chiedendo a Facebook di trovare gli
“amici” presenti nella rubrica. Un
thread Twitter di Ashkan Soltani
riassume molti dettagli tecnici della vicenda, cita molti esempi di persone in
posizioni di responsabilità di cui sono stati resi pubblici i numeri di
telefono e sembra confermare la possibilità di una enumeration massiva
usata per fare scraping. Precisa inoltre che il dump include
anche numeri di telefono che erano stati impostati come “privati” e non
visibili a nessuno in Facebook.
Nessun commento:
Posta un commento
Se vuoi commentare tramite Disqus (consigliato), vai alla versione per schermi grandi. I commenti immessi qui potrebbero non comparire su Disqus.