Un numero di telefono cellulare non è per sempre: un vecchio numero può venir abbandonato, dimenticato, dismesso. Tutti infatti sanno, o dovrebbero sapere, che una Sim non ricaricata per un certo periodo scade.

Il destino del numero di telefono non più utilizzato non è però quello di un'eternità di beatitudine nel paradiso dei numeri di telefono: esso verrà invece reincarnato dalla compagnia telefonica che lo gestisce, e tornerà a servire un nuovo cliente.

Fin qui non abbiamo rivelato nulla di nuovo o preoccupante: si tratta di una modalità in essere sin dall'inizio dell'era dei cellulari.

L'esperto di sicurezza James Martindale ha scoperto che tutto ciò non è tanto innocuo quanto si potrebbe pensare, almeno se si possiede un account Facebook collegato a un vecchio numero telefonico.

Tutto è iniziato quando Martindale ha chiesto una nuova Sim con un nuovo numero. Non appena la scheda è arrivata ed è stata inserita in un telefono, subito sono arrivati due messaggi: l'uno da un mittente sconosciuto, l'altro da Facebook. Evidentemente il numero era in passato appartenuto a qualcun altro.

Ricevere Sms dal social network in blu non è strano: anzi, Facebook è piuttosto insistente circa la necessità di collegare il proprio account a un numero di telefono, così da avere un ulteriore modo per contattare gli amici e per recuperare la password in caso di smarrimento.

Il messaggio ricevuto da Martindale era proprio di quest'ultimo tipo. Curioso per mestiere, il ricercatore ha provato a seguire la procedura di recupero password usando il suo nuovo numero di telefono, riuscendo in poco tempo a entrare nell'account di un perfetto sconosciuto, acquisendone il controllo completo.

La cosa è un po' preoccupante. È vero che violare un account Facebook con un sistema del genere è una specie di lotteria, dato che per esempio non è possibile scegliere la propria vittima, ma le possibilità che ciò funzioni sono più numerose di quanto si potrebbe pensare.

Come Martindale dimostra nel post che descrive l'intera esperienza, capita sovente che un utente dismetta un numero ma che si dimentichi di eliminare l'associazione con Facebook.

Farsi assegnare dei nuovi numeri di telefono da testare per vedere se danno accesso a qualche account sul social network è egualmente abbastanza facile: basta usare qualche servizio di telefonia VoIP come quello adoperato proprio da Martindale, che per una cifra modesta consente di cambiare numero all'infinito.

Una volta ottenuto il controllo di un account Facebook altrui, i mezzi per spremere denaro sono vari e usati da tempo dagli scammer di tutto il mondo.

Per Facebook, contattata da Martindale, tutto ciò non rappresenta un problema di sicurezza: è semplicemente il modo in cui funzionano le cose, e sta agli utenti proteggersi.

Il primo modo per farlo, ovviamente, è eliminare dal proprio account tutti quei numeri di telefono non più utilizzati. È anche utile attivare gli avvisi in caso di accesso non autorizzato, e utilizzare l'autenticazione in due passaggi. Oppure, naturalmente, non usare Facebook.