Cosa succede?
Se hai un account Facebook, il tuo indirizzo, numero di telefono, nome e cognome, e-mail, posizione geografica (e altro ancora) potrebbero essere visibili in un set di dati liberamente accessibile su internet, frutto di una violazione che ha colpito la piattaforma, probabilmente nel maggio 2019.Il set di dati raccoglie informazioni su circa 533 milioni di utenti Facebook. Di questi, 36 milioni sono Italiani (siamo la nazione più colpita dalla violazione: il numero è pari a 9 utenti Facebook italiani su 10).
Da dove vengono questi dati?
Secondo Facebook si è trattato di un'azione di "scraping", ovvero "una tattica comune che spesso si basa su software automatizzati per prendere informazioni pubbliche dalla rete e che possono poi finire distribuite in forum online come questo" (secondo le dichiarazioni della stessa Facebook, nella traduzione di Carola Frediani).
La spiegazione della azienda fa però acqua: nel set di dati sono compresi anche numeri di telefono che gli utenti Facebook utilizzano per l'autenticazione dell'accesso ("a due fattori"), e che gli utenti stessi avevano indicato come "visibile solo a me" nelle preferenze di Facebook (dunque non solo "informazioni pubbliche").
Com'è successo?
I giornalisti informatici ipotizzano che qualcuno abbia sfruttato una falla nella funzione "Importa contatti" della piattaforma.
Per farla breve, "L’attaccante ha creato una rubrica telefonica di ogni numero di telefono del pianeta e poi ha chiesto a Facebook se i suoi amici erano su Facebook" (Mikko Hypponen).
Quali sono i rischi?
Se il tuo numero nella lista, la cosa più probabile che riceverai molto più SPAM (pubblicità non desiderata, ma anche link malevoli e altro) basato sul tuo numero di telefono.
"Per attacchi, con bersaglio specifico, dov'è l'attaccante conosce il nome e la nazione del bersaglio, [il set di dati] è ottimo per risalire al numero di telefono. Molto più difficile per attacchi non mirati...
Ma per lo spam realizzato attraverso i numeri di telefono, è oro: non ci sono solo gli SMS, ma anche una gran quantità di servizi che richiedono solamente il numero di telefono, di questi tempi, e ora ci sono centinaia di milioni [di numeri telefonici], associati a dati normalmente utilizzati negli indirizzi email, come nome e cognome" (Troy Hunt, traduzione mia).
Come faccio a controllare?
Il miglior sito per verificare che i propri contatti (e-mail, numero di telefono) siano stati coinvolti in questo o in altri attacchi rimane https://haveibeenpwned.com/.
Inserisci il tuo numero di telefono nel motore di ricerca del sito e incrocia le dita.
Se ti esce questo:
Se ti esce questo:
Fai parte di quel 90% di utenti Facebook italiani che sono dentro il set di dati liberamente accessibile.
Mi devo preoccupare?
Ma figurati!
"Per Facebook, la protezione dei dati e la privacy delle persone sono molto importanti; per questo motivo, ci impegniamo a continuare a rispettare le leggi sulla protezione dei dati" (Facebook).
Probabilmente è proprio per tutelarti che Facebook ha deciso che non ti avvertirà se i tuoi dati sono compresi all'interno di questa lista a cui chiunque può accedere.
(Come ha candidamente ammesso la stessa azienda, la decisione di non avvertire gli utenti e data anche dal fatto che ormai i dati sono stati esposti. Meglio dunque tenere le vittime all'oscuro.)
Fonti
Guerre di Rete - #FacebookLeak: molte domande, poche risposte (Substack) (Se non siete ancora iscritti a questa newsletter che parla di tecnologia e di informazione, vi consiglio di farlo)
Personal data of 533 million Facebook users leaks online (The Verge).
What Really Caused Facebook's 500M-User Data Leak? (Wired)
How to check if you’re part of the Facebook data breach (The Verge)