Maurizio
Massasso.it

Il data leak di Facebook di Aprile 2021

Ciao a tutti!

Come ormai molti di voi sapranno, è notizia del 3 Aprile 2021 che oltre 500 milioni di account Facebook in giro per il mondo sono stati “compromessi” e resi pubblici sfruttando una vulnerabilità del portale.

La società ha ammesso che c’è stato questo furto, specificando che si tratta di dati sottratti nel 2019 e che la falla che aveva permesso tale intrusione è stata sistemata nell’Agosto dello stesso anno.
Si trattava di un problema nella funzione “Importa amici”, la quale permetteva di ottenere l’accesso ai numeri di telefono degli altri utenti.
Non c’è stata quindi, sempre secondo Facebook, una violazione dei server ma lo sfruttamento di una vulnerabilità della funzione per effettuare lo “scraping” (letteralmente “raschiare via”) dei dati dal portale, direi a naso tramite script che effettuavano l’operazione su un enorme numero di profili.
Probabilmente è per quello che alcuni dati sono mancanti o incompleti.
Bisogna però anche dire che questa spiegazione non convince completamente tutti gli “addetti ai lavori”.

Tali dati vennero messi in vendita inizialmente su un forum, poi qualcuno creò un bot Telegram (oggi chiuso) che permetteva di richiederli per piccole somme.
Ad Aprile 2021 però sono stati resi pubblici su un altro forum (attenzione, nemmeno nel dark web, proprio “in chiaro” sul surface web!) per una somma di poco superiore a 2$.
Questa “trafila” è abbastanza comune nell’ambiente, in quanto inizialmente provano a tirar su soldi, poi calano di prezzo finchè non si arriva a rilasciarli per pochi spiccioli in modo da, comunque, rafforzare (o guadagnarsi) la propria reputazione.
Curioso (e divertente, per certi versi) che siano stati trafugati i dati di tre dei fondatori di Facebook stesso, Zuckerberg, Hughes e Moskovitz.

Per noi, però, utenti di Facebook qual’è il problema?
Vediamo di capirci qualcosa.
Questi dati sono stati sottratti, appunto, nel 2019 e contengono il numero di cellulare, l’ID Facebook, nome, sesso, città, relazioni, occupazione, data di nascita ed indirizzo email (quest’ultima non sempre, però).
Come potete notare, non è presente la password.
Per l’Italia si parla di circa 35 milioni di utenze, decisamente una cifra rilevante.
Come ogni volta, le informazioni rubate sono ormai pubbliche, non c’è verso di eliminarle o farle tornare indietro. E possono essere usate per diverse operazioni.
E’ possibile lanciare attacchi mirati alle email tramite phishing, molto preciso (detto “spear phishing”) in quanto è presente una serie di informazioni che permettono di raffinare il messaggio (lavoro, città, data di nascita) oppure è possibile sfruttare, per lo stesso motivo e nello stesso modo, il numero di cellulare tramite SMS o addirittura (ma non ho conferme in merito) whatsapp.
C’è poi il problema del Sim Swapping, ma ne parliamo in seguito.

Come possiamo sapere se “ci siamo finiti in mezzo”?
Abbastanza semplice: esiste un sito, https://haveibeenpwned.com/ molto valido, creato da Troy Hunt, un ricercatore di sicurezza informatica, sviluppatore ed esperto, il quale ci permette di inserire il nostro numero di telefono o l’email e verificare se siamo finiti in questo o altri data leak che si sono verificati nel corso degli anni.
Attenzione, il telefono va inserito nel formato internazionale, quindi per noi italiani con “+39” davanti.
Il sito, come indicato nella loro policy sulla privacy, non trattiene informazioni di nessun genere. Semplicemente prende il dato inserito, va a cercarlo nel database dei data leak e restituisce il risultato.

Bene, ci son finito dentro, che faccio?
La preoccupazione maggiore, a mio modo di vedere, viene dal SIM Swap, ovvero il fatto che un eventuale attaccante possa sostituirsi al vostro telefono e ricevere eventuali codici di autenticazione che vi vengono inviati.
Questo caso è più “rognoso” e solitamente pericoloso perché normalmente questa procedura viene utilizzata per servizi bancari o comunque più sensibili di Facebook.
In pratica, l’attaccante può contattare il vostro provider di telefonia mobile e richiedere un cambio di SIM con le motivazioni più disparate (“Me l’hanno rubato” oppure “Ho perso il telefono”).
Se l’operatore non esegue controlli approfonditi, è possibile che di punto in bianco il vostro numero di telefono venga associato ad un’altra SIM e quindi possa essere utilizzato dall’attaccante.
Normalmente, esperienza personale, per identificarmi quando chiamo il mio fornitore di telefonia, mi vengono fatte alcune domande a cui (teoricamente) solo io potrei dare una risposta sensata.
Indovinate qual è una di queste? Bravi: “La sua data di nascita?” … e l’attaccante, in questo caso, ce l’ha bell’e pronta. Così come altre informazioni, nel caso.
Purtroppo in questo caso non è che si possa fare molto se non verificare e controllare spesso questi servizi e segnalare immediatamente eventuali irregolarità a chi di dovere.
Se il vostro numero viene “spostato” di SIM, il vostro telefono improvvisamente non funzionerà più perché, ovviamente, la scheda attuale non avrà un numero attivo. Questo è un campanello … no, una sirena di allarme che, se riuscite ad intercettare, va immediatamente segnalata.
Oltre al Sim swapping, bisogna comunque fare attenzione, come già ricordato, ai messaggi, siano essi per email, sms o whatsapp (ma già lo facevate prima, vero? VERO? VERO?).
Messaggi o telefonate da paesi strani e numeri sconosciuti (ne ricevo almeno due/tre la settimana da paesi all’altro capo del mondo) non vanno presi in considerazione.
Su Whatsapp , ragionandoci un attimo, penso che se uno ha il vostro numero, può sicuramente inviarvi un messaggio.
Messaggi in arrivo da numeri strani non vanno aperti, soprattutto se avete attivato lo scaricamento automatico di immagini e file (l’eventuale malware potrebbe partire in automatico).
Cancellare subito senza aprire.

Come prevenire una nuova situazione simile in futuro?
Questa ormai è andata, i nostri dati sono pubblici e possiamo solo correre ai ripari.
Certamente, però, ci sono alcune cose da fare che possono mitigare il problema in futuro.

  • In primis, cambiare la password di Facebook e di eventuali altri account “sensibili” (banca, shopping online) che potrebbero essere collegati a metodi di pagamento ed alla email o al numero di telefono trafugati.
    Questo anche se (pare) le password non siano state compromesse questa volta, ma la prudenza non è mai troppa.
  • Non riutilizzare la stessa password per più servizi. E’ un’abitudine bruttissima che porta un attaccante a “bucarvi” tutti i servizi in un colpo solo.
    Esistono programmi generatori di password e password manager locali (ad esempio KeePass) che permettono sia di generare password complesse che di memorizzarle in un file criptato per non dovercele ricordare.
  • Sull’account Facebook, attivare l’autenticazione a due fattori (2FA) ma NON l’opzione “tramite SMS” bensì tramite “App di Autenticazione” (Impostazioni e Privacy -> Protezione e Accesso).
    Meglio utilizzare applicazioni apposite (ad esempio Google Authenticator) le quali generano codici univoci in maniera indipendente dal vostro numero cellulare che, quindi, non dovrà essere inserito da nessuna parte.
    All’attivazione di questo tipo di 2FA (si dovrebbe chiamare “Autenticazione tramite App”), Facebook vi chiederà di inquadrare il codice QR che viene generato e l’app inizierà a generare codici univoci che vi verranno richiesti al momento dell’accesso.
  • Ultima cosa, rendere private le informazioni più sensibili e non necessarie ai visitatori del vostro profilo, così come rivedere chi può contattarci (qui una guida su come gestire alcune impostazioni).
    Rendiamoci conto che i social network sono il principale bacino di “pesca a strascico” di dati personali incautamente pubblicati.


In conclusione, in questo data leak, avendo associati dati personali e particolarmente delicati ci sono alcuni rischi che vanno considerati e precauzioni da prendere per evitare, domani, di trovarci impelagati in qualche situazione da cui sarà difficile uscirne.

Vale, comunque, sempre la stessa regola: se una cosa è su internet, non importa se in aree private o pubbliche, va considerato come alla portata di tutti (beh, “quasi” tutti, sicuramente dei malintenzionati!).
Se non volete che un vostro dato venga diffuso, anche solo per errore, non immettetelo in rete.

Se avete informazioni, correzioni, aggiunte o qualsiasi altra cosa da dirmi riguardo questo articolo, potete usare la sezione contatti del sito per raggiungermi e parlarne!

Ciao!
M.

Fonti: bleepingcomputer.com, https://haveibeenpwned.com/, Facebook, Troy Hunt Twitter
Immagine di copertina: blogtrepreneur.com



Maurizio Massasso

07 Aprile 2021