I dati di 533 milioni di account Facebook sono stati violati e resi pubblici via internet, fra cui 36 milioni di account italiani (un dato impressionante se si considera che la popolazione totale italiana si aggira sui 60 milioni, pur considerando account multipli e aziendali).

Numeri di telefono.

La notizia è tanto più grave quanto più la maggior parte dei dati trafugati riguarda i numeri di telefono degli account in questione, spesso e volentieri associati e nome e cognome del proprietario (a volte accompagnati anche da email, residenza, status e altre informazioni personali). Fra i numeri di telefono violati anche quelli di personalità conosciute a livello mondiale come Donald Trump e, ironicamente, lo stesso Mark Zuckerberg.

Sono stato colpito?

Per verificare se il numero di telefono personale rientra fra quelli trafugati si può usare il sito http://Haveibeenpwned.com (attivo dal 2013 e strumento di monitoraggio dei data breach ben conosciuto). Basterà inserire il proprio numero di telefono preceduto da un “39” (prefisso internazionale dell’Italia, non serve il +) per verificare se il proprio numero rientra fra quelli trafugati.

Perché ora?

In caso negativo si può tirare un sospiro di sollievo: la vulnerabilità che ha consentito la fuga di questi dati è stata infatti risolta nel settembre 2019. Questo significa ovviamente che i dati personali degli utenti colpiti circolano in rete da poco meno di due anni. Se ne parla oggi perché, se fino ad ora i dati erano circolati in maniera relativamente limitata a causa delle alte cifre che venivano chieste per diffonderli, ora sono disponibili a prezzi molto più bassi (se non addirittura gratis). E questo ha aiutato a far luce sulle dimensioni del data breach.

Scraping.

Ma come sono stati sottratti così tanti dati? In realtà il meccanismo di scraping, così viene definito, è piuttosto semplice concettualmente: “basta” un algoritmo che calcoli tutti i numeri di telefono possibili, attivando quindi la ricerca amici tramite numero di telefono per ottenerne nomi e cognomi.

Cosa fare?

Se il proprio numero risulta “trafugato”, cosa si può fare? Purtroppo assolutamente nulla, se non considerarlo di possibile dominio pubblico o, nel caso limite, cambiar numero. I dati sono stati trafugati molto tempo fa e sono disponibili attraverso diversi canali illegali, anche rimuovere totalmente i propri dati o cancellare l’account Facebook non migliorerà la situazione.

Autenticazione a due fattori.

Per coloro che avessero paradossalmente affidato a Facebook il proprio numero proprio per ragioni di sicurezza, nell’ambito dell’autenticazione a due fattori, consigliamo di cambiare il metodo di autenticazione da SMS a codice generato da un’apposita app di sicurezza (come Google Authenticator). Se la violazione non fosse già avvenuta, è un ottimo modo per prevenire eventuali futuri casi analoghi.

Ti è piaciuto questo articolo? Condividilo con i tuoi amici!