“Violato mezzo miliardo di dati degli utenti di Facebook”, questo è uno dei tanti titoli apparsi sui media recentemente in tema di data breach. Qualsiasi violazione dei dati, specialmente quando colpisce una così grande quantità di utenti, è spiacevole sia per l’azienda sia per le persone coinvolte; in questo caso, però, sembra essere una vecchia notizia con una nuova svolta.
La timeline di questa data breach, secondo Facebook, inizia nel 2018, quando è emerso che malintenzionati stavano abusando di una funzione di Facebook che permetteva a un utente di cercare un altro utente tramite il numero di telefono per localizzarlo sul social network. Questa funzione era particolarmente utile nelle aree in cui molti utenti condividono lo stesso nome e cognome, rendendo complesso rintracciare la persona che si sta realmente cercando. Sfortunatamente, questo ha permesso agli hacker di abusare della funzione e “attaccare” Facebook utilizzando l’automazione e gli script per compilare un database che, come minimo, includeva il nome e il numero di telefono della vittima.
Facebook ha rimosso la funzione nell’aprile 2018, poco dopo lo scandalo Cambridge Analytica, quando l’attività di scraping dannosa è stata identificata. In seguito, nel 2019, come riportato da TechCrunch, un ricercatore di sicurezza ha trovato online i record di 400 milioni di account Facebook in un database non protetto. All’epoca, Facebook ha confermato che i dati erano “vecchi” e sembravano essere stati raccolti prima della rimozione della funzione di ricerca nel 2018. I dati non protetti sono stati rimossi dall’accesso pubblico.
Recentemente la CNN e numerosi altri media hanno riferito che i ricercatori in ambito cybersecurity hanno identificato un database non protetto e accessibile al pubblico che sembrerebbe avere lo stesso contenuto di quello scoperto nel 2019. C’è l’ipotesi, come riportato da TechCrunch, che al set di dati originale possa essere stato aggiunto il database sottratto nel 2018.
La Commissione irlandese per la protezione dei dati (DPC) sta lavorando per ricostruire i fatti e per accertare se la data breach è avvenuta prima dell’entrata in vigore del regolamento generale sulla protezione dei dati (GDPR).
Se al momento dello scraping il profilo della vittima su Facebook era pubblico, il malintenzionato potrebbe aver raccolto ulteriori informazioni, più personali, che potrebbero poi essere state utilizzate per creare un profilo della vittima. I dati che contengono informazioni di identificazione personale potrebbero essere utilizzati contro la vittima in furti di identità, phishing mirato, social engineering, acquisizione di account e altre truffe che potrebbero causare danni significativi.
Il valore dei dati diminuisce nel tempo? La risposta è sia sì che no. Il numero di telefono, ad esempio, potrebbe essere lo stesso oggi come nel 2018, o informazioni statiche come la data di nascita rimangono le stesse, e anche una linea temporale di attività non cambierebbe ma si sarebbe solo fermata al punto in cui i dati sono stati raccolti. Mentre le password, che questi dati non contengono, è probabile che siano state cambiate negli ultimi tre anni.
Il sito di monitoraggio delle violazioni dei dati Have I Been Pwned (HIBP) nota che solo 2,5 milioni di record trovati nei dati non protetti accessibili al pubblico includevano un indirizzo e-mail; tuttavia, la maggior parte dei record conteneva nomi, sesso, data di nascita, posizione, stato di relazione e datore di lavoro. Tali dati sono da considerarsi personali, anche senza un indirizzo email, e rappresentano una compromissione della nostra identità e qualcosa di cui è opportuno preoccuparsi.
Data breach: come controllare se si è stati colpiti
Per gli account utente contenenti un indirizzo email, autori malintenzionati potrebbero tentare di accedere a Facebook e ad altri siti e servizi utilizzando l’indirizzo email e tecniche brute force con password di uso comune. Se la vittima usa solo password semplici, la stessa su molti siti, e non le cambia mai, allora deve agire oggi stesso – cambiare le password, renderle uniche e complesse e attivare l’autenticazione a più fattori. È possibile controllare se si fa parte dei 2,5 milioni di account compromessi sul sito dell’HIBP.
Aspetto ancor più importante, il sito ora permette anche di controllare se il proprio numero di telefono è stato esposto nella violazione.
Perché questo è importante, al di là della grande quantità di numeri di telefono sottratti? Se riceviamo un SMS per reimpostare la password di Netflix o che ci informa che c’è una gift card per noi, allora dobbiamo essere consapevoli che autori malintenzionati probabilmente useranno i dati che hanno, nome e numero di telefono, per progettare un attacco di social engineering che otterrà l’accesso o dati che potranno poi monetizzare. È anche probabile che gli stessi possano aver combinato queste informazioni con altr edata breach, che potrebbero includere il nostro indirizzo email e altri dati personali, ottenendo così sufficienti informazioni per lanciare un attacco di social engineering credibile.
La vigilanza e un atteggiamento guardingo nei confronti di ogni messaggio ed e-mail che riceviamo sarà utile a proteggere i nostri account online. Unitamente a password uniche per ogni account, l’autenticazione a più fattori e un software di sicurezza multi-livello di qualità contribuiranno a proteggerci. E se non riusciamo a ricordare le password o a crearne di uniche e complesse, allora prendiamo in considerazione un gestore di password.
ESET racchiude in ESET Smart Security Premium, la massima protezione informatica per la sicurezza online degli utenti e una facile gestione delle password per arginare la data breach.
