Il 4 aprile 2021 un ingente furto di dati ai danni degli utenti di Facebook è diventato di dominio pubblico, facendo sicuramente andare di traverso l’uovo di Pasqua a moltissime persone. Cosa è successo? Andiamo con ordine.
Quali dati sono stati rubati?
I dati sottratti comprendono le seguenti informazioni sugli utenti Facebook:
- Numero di telefono cellulare
- Identificativo numerico dell’account Facebook
- Nome
- Cognome
- Sesso
- Luogo di residenza
- Luogo di nascita
- Situazione sentimentale
- Datore di lavoro
- Data e ora dell’ultimo aggiornamento dei dati (forse, è l’unico valore su cui ho dei dubbi)
- Indirizzo email
- Data di nascita
Quanti dati sono stati rubati?
I dati sono stati sottratti ad oltre 500 milioni di utenti (circa il 20% degli utenti Facebook complessivi), tra cui troviamo quasi 36 milioni di italiani.
Il numero di telefono cellulare, l’identificativo dell’account Facebook, il nome ed il cognome sono praticamente sempre presenti, mentre il resto dei dati è spesso mancante per la maggioranza degli utenti: in particolare, l’indirizzo email, nella lista di dati italiani, è presente soltanto in poco più dell'1% degli utenti.
I dati, verosimilmente, sono stati sottratti nella seconda metà del 2019. Seguendo una dinamica comune in questi casi, all’inizio sono stati scambiati in ambienti malavitosi ad un prezzo alto, che via via è sceso fino a pochi giorni fa, quando i dati sono diventati disponibili per pochi spiccioli e quindi di dominio pubblico.
Quali rischi si corrono?
Possiamo pensare a due categorie di rischi.
Innanzitutto è ovvio che la lista dei numeri cellulari verrà usata a scopi di spam (pardon, marketing) e phishing: sicuramente i messaggi e le chiamate indesiderate sono inevitabilmente destinate ad aumentare, nei prossimi mesi. Per questo motivo è fondamentale rimanere lucidi e fare sempre attenzione, specialmente se riceviamo SMS, contatti Whatsapp o chiamate insolite. Questo tipo di conseguenza è pressoché inevitabile, bisognerà farsene una ragione.
La seconda categoria di rischio, invece, riguarda possibili attacchi alle nostre autenticazioni a due fattori basate su messaggi SMS, praticamente tutte ormai1: criminali particolarmente motivati, a seconda dei casi, potranno investire una certa quantità di tempo e denaro per ottenere un’illecita portabilità del nostro numero su una loro SIM, per poi intercettare e compromettere le nostre credenziali basate sull’invio di messaggi con token. Questo tipo di attacco, conosciuto come SIM swap, non sarà sicuramente comune ma, vista la situazione, conviene farci un pensierino. In questo caso la raccomandazione è quella di avere almeno due numeri di celllulare, se possibile: uno per l’uso nei sistemi di autenticazione a due fattori (banche, account Google etc…), l’altro per scopi pubblici.
Se volessi saperne di più?
Per controllare se il vostro numero di cellulare è coinvolto in questo furto di dati vi consiglio il famoso Have i been pwned, di Troy Hunt. Sicuramente ormai esisteranno moltissimi servizi per fare questo controllo, ma occhio a mettere il vostro numero di cellulare in siti a caso. Troy Hunt, d’altro canto, ha un’ottima reputazione in questa tipologia di casi e mi sento di consigliare il suo servizio. Per controllare il vostro numero dovrete aggiungere il prefisso italiano 39. Quindi, se il vostro cellulare è 123456789 dovrete cercare 39123456789.
Per ulteriori dettagli sul caso, invece, vi consiglio l’ottimo spiegone di Matteo Flora.
Attenzione: anche i sistemi di autenticazione a due fattori in cui i token o le credenziali biometriche vengono inserite tramite app spesso consentono di usare codici inviati via SMS, al posto di questi metodi (magari dopo qualche tentativo fallito). ↩︎