Cosa sappiamo sull’enorme perdita di dati di Facebook

Negli ultimi giorni sono emersi nuovi dettagli sulla diffusione online dei dati personali di centinaia di milioni di persone iscritte a Facebook, e della quale si erano avute le prime notizie nel 2019. A causa di una falla di sicurezza di cui era responsabile il social network, da tempo sono disponibili le informazioni su circa 500 milioni di utenti di Facebook, compresi i loro numeri di telefono e indirizzi email. Il problema riguarda numerosi paesi e in particolare l’Italia, con quasi 36 milioni di account interessati.

Violazione
Le prime notizie sulla violazione erano circolate nel 2019 in alcuni forum di hacker (in particolare cracker, cioè chi cerca di trarre un profitto dal superamento di blocchi nei software e nei sistemi), dove era stata annunciata la disponibilità di un’enorme quantità di dati con numeri di telefono e indirizzi email verificati e attivi, da utilizzare per campagne di marketing non autorizzate (“spam”) o per truffe di vario tipo. Come spesso avviene in questi casi, i dati erano stati messi in vendita a singoli acquirenti, ma non potevano essere consultati o scaricati liberamente.

All’epoca, Facebook aveva confermato di avere subìto la violazione di alcuni propri sistemi e di avere risolto la falla di sicurezza che aveva permesso la sottrazione dei dati. Il social network non aveva fornito molti altri dettagli, nonostante la perdita di dati riguardasse centinaia di milioni di account, e la vicenda non aveva avuto particolare risonanza perché i dati messi in vendita erano comunque difficili da ottenere e da consultare.

A inizio 2021 le cose si erano però complicate in seguito alla diffusione di un “bot” (un sistema di risposta automatica) sull’applicazione di messaggistica Telegram, che poteva essere utilizzato per accedere più facilmente ai dati, dietro il pagamento di somme di denaro più accessibili rispetto alle richieste formulate in precedenza.

https://twitter.com/UnderTheBreach/status/1349671417625931778

Nelle ultime settimane, i dati sono diventati disponibili da più fonti gratuitamente, cosa che ha reso più evidente l’estensione del problema e fatto aumentare i rischi, considerato che ora quei dati persi da Facebook potranno essere utilizzati per numerosi scopi.

Dati
I set di dati si trovano in varie forme, in alcuni casi organizzati per aree geografiche e singoli paesi. Da cosa hanno segnalato gli esperti, non c’è particolare omogeneità nel modo in cui sono organizzati i dati al loro interno. A seconda dei casi, sono comunque presenti per ogni iscritto a Facebook interessato: nome, cognome, numero di telefono, indirizzo email, genere, data del compleanno, luogo, ultimi aggiornamenti e data di creazione dell’account.

Le email non sono presenti per tutti gli account, mentre è quasi sempre presente il dettaglio del numero di telefono. Al momento dell’iscrizione, o nelle fasi successive, Facebook propone spesso di utilizzare un numero di cellulare per confermare la propria identità e per avere un secondo sistema di verifica, in modo da poter recuperare il proprio account. Il numero di telefono può anche essere inserito opzionalmente nel proprio profilo, in modo che chi lo conosce possa trovare più facilmente i propri contatti.

Paesi
Stando alle liste diffuse finora, l’Italia è tra i paesi più interessati con 35,6 milioni di account in elenco, molti dei quali accompagnati dal numero di cellulare. Altri paesi particolarmente coinvolti sono la Francia (19,8 milioni), il Regno Unito (11,5 milioni), gli Stati Uniti (32,3 milioni), l’Egitto (44,8 milioni) e l’Arabia Saudita (28,8 milioni). Per farsi un’idea delle dimensioni del problema, assumendo che si tratti effettivamente di 500 milioni di account, parliamo di circa il 20 per cento di tutti gli iscritti al social network.

Nonostante l’estensione geografica, al momento Facebook non ha diffuso comunicati o fornito particolari dettagli, limitandosi a fare riferimento a quanto aveva già spiegato tra il 2019 e il 2020. All’epoca il social network aveva riconosciuto il problema, ma cercando di spostare il tema sul fatto di avere rimosso la vulnerabilità sfruttata per sottrarre i dati in suo possesso. Al momento solo i responsabili della sicurezza di Facebook hanno più elementi che potrebbero essere utili per capire meglio la vicenda.

Spam
Le centinaia di milioni di numeri di telefono, presumibilmente in buona parte attivi e legati a singole persone, potrebbero essere sfruttati soprattutto per l’invio di SMS o chiamate automatiche di telemarketing e spam. I numeri sono suddivisi per nazione e quindi relativamente facili da organizzare in set da utilizzare per questi scopi. È inoltre probabile che per molte persone coinvolte il problema si fosse già presentato nei mesi scorsi, visto che comunque i numeri erano già disponibili, seppure a pagamento. La possibilità di incrociare dati su identità, email e numero di telefono dei singoli utenti potrebbe essere sfruttata per altri scopi, come truffe non solo online.

Verifica
Il sito “Have I Been Pwned?”, che consente di verificare se i propri dati siano presenti nei set sottratti ai siti sfruttando le loro vulnerabilità, nella mattina di martedì 6 aprile ha attivato una nuova opzione che consente di controllare se il proprio numero di telefono sia compreso nella perdita di dati di Facebook. Il numero deve essere inserito con il prefisso internazionale (39 nel caso dell’Italia) e senza spazi. I dati sono ancora in fase di caricamento sul sito, quindi potrebbe essere necessaria qualche ora prima di ottenere un risultato affidabile. Il servizio non trattiene in alcun modo i propri dati dopo avere effettuato la verifica.

Come rimuovere il proprio numero da Facebook
Da tempo analisti ed esperti di sicurezza informatica sconsigliano di mantenere il proprio numero di telefono su Facebook. Anni fa l’uso del numero era stato sconsigliato dopo che era emerso che in alcune circostanze il social network lo utilizzava non solo per la gestione della sicurezza dell’account, ma anche per finalità legate alla pubblicità. In seguito a varie sottrazioni di dati negli ultimi anni, alcuni avevano segnalato i rischi di mantenere il numero di cellulare collegato al proprio account, utile nel caso di dover recuperare le proprie credenziali o per mantenere un maggior livello di sicurezza per accedere al proprio account.

Dalle impostazioni di Facebook si può controllare se il proprio numero di cellulare sia o meno presente nelle “Informazioni di contatto” a questo link, e può essere rimosso senza problemi.

Per quanto riguarda l’accesso con doppia verifica, si può decidere di non utilizzare come sistema di conferma il proprio numero di cellulare, impiegando al suo posto un’applicazione per autenticarsi. L’impostazione si cambia a questo link, intervenendo nella voce “Usa l’autenticazione a due fattori” premendo il tasto “Modifica”. Tra le applicazioni più pratiche da utilizzare per l’autenticazione a due fattori senza numero di cellulare c’è Authy, che ha una guida rapida fatta appositamente per chi vuole attivare il doppio controllo su Facebook. (Si può fare la stessa cosa anche per Instagram, sempre di proprietà di Facebook.)

Indagini
Non è chiaro se i nuovi sviluppi porteranno a ulteriori revisioni sulle eventuali responsabilità di Facebook, da parte delle autorità per la tutela dei dati personali. Mentre per ora l’autorità italiana non ha diffuso informazioni, quella dell’Irlanda ha annunciato di avere avviato una verifica. Facebook ha la propria sede europea principale proprio in Irlanda, quindi eventuali determinazioni da parte delle autorità irlandesi potrebbero fare avviare altre iniziative nell’Unione Europea.