Il possibile data breach di Facebook, a causa del quale numeri di telefono e altre informazioni personali di circa 533 milioni di utenti del social in tutto il mondo sono stati divulgati gratuitamente su un popolare forum di hacker, permette di approfondire il tema della violazione dei dati per capire come fare per prevenire i rischi e porre rimedio ai danni.
Infatti l’episodio che ha riguardato Facebook rappresenta un fatto grave che mette a rischio i dati personali e la privacy di molti utenti di Facebook di tutto il mondo. E tra questi, gli utenti italiani sono stati tra i più colpiti.
Indice degli argomenti
Data breach di Facebook, cosa è realmente accaduto
Facebook ieri ha rimarcato che non si tratta di una violazione delle loro reti e sistemi ma il frutto di uno scraping di dati pubblici nel 2019, tramite funzionalità che sono stati bloccati successivamente proprio per impedire questi utilizzi malevoli.
Non dovremmo quindi trovare nel pacchetto dati che gli utenti non hanno resi pubblici; includono la mail e il numero di cellulare, elementi che – come ha scritto il Garante Privacy ieri in una nota – consentono di fare truffe di vario tipo ai danni degli utenti.
I dati pubblicati – e resi ormai accessibili a chiunque – sono esattamente quelli di 533.313.128 utenti di Facebook. Poiché si stima che nel 2021 questa piattaforma di social media sia arrivata a contare oltre 2,74 miliardi di utenti attivi nel mondo (fonte: Rapporto “Digital2021” di We are social), la quota di account pubblicati rappresenta circa il 20% di tutti gli utenti del mondo. Per l’Italia va molto peggio: nella “classifica per nazioni” si trova al quarto posto per numero di utenti presenti nel databreach, con 35.677.323 record pubblicati, in pratica circa il 90% di tutti gli account Facebook italiani. Questa la classifica delle dieci nazioni più colpite:
Nazione | Numero di utenti | |
1 | Egitto | 44.823.547 |
2 | Tunisia | 39.526.412 |
3 | Italia | 35.677.323 |
4 | USA | 32.315.282 |
5 | Saudi Arabia | 28.804.686 |
6 | Francia | 19.848.559 |
7 | Turchia | 19.638.821 |
8 | Marocco | 18.939.198 |
9 | Colombia | 17.957.908 |
10 | Iraq | 17.116.398 |
Quali sono i dati violati e pubblicati
In dettaglio, per ciascun utente sono stati resi pubblici i seguenti dati:
- Numero di telefono cellulare
- Nome e Cognome
- Sesso
- Città e provincia di nascita
- Data di nascita (formato data + ora, anche se non visibile sul profilo FB)
- Attività lavorativa e relazioni sentimentali (“relationship status”)
- Email (presenti solo in pochi casi)
- UID Facebook (codice numerico del profilo Facebook).
Da analisi fatte, risulta che quasi ogni record utente contiene il numero di cellulare, un ID Facebook, un nome e il sesso. Molto meno presenti gli indirizzi email. Non ci sono password, che in ogni caso per essere utilizzate richiederebbero un’attività di dehashing, con tecniche di password cracking. L’identificativo UID Facebook in realtà non è un dato segreto. Si tratta di un codice numerico univoco che è associato ad un account ed identifica ogni singolo profilo Facebook e che può essere ricavato in modo semplice utilizzando servizi disponibili in rete, quali FB ID Finder.
Come si ricava l’UID Facebook
è sufficiente copiare l’URL Facebook di una utente (lo si ottiene cliccando sulla immagine del profilo della persona) ed incollarlo nel box di FB ID Finder e cliccare sul pulsante “Get ID”. A titolo di esempio abbiamo provato a farlo con il profilo di Mark Zuckerberg il cui URL è la seguente. Si scopre così che il suo UID è di una sola cifra ed è il numero 4. Per tutti gli altri utenti (che non siano il fondatore di Facebook!) il codice UID è un numero lungo del tipo “100010880xxxxxx”.
Perché il data breach di Facebook può essere pericoloso
Intanto perché oggi questi dati – seppure alcuni risalgano al data breach del 2019 – sono diventati di dominio pubblico, disponibili gratuitamente e quindi scaricabili da qualsiasi utente della rete. Il forum hacker dove è stato annunciato e messo inizialmente in vendita il database sottratto a Facebook non si trova del Dark Web come si potrebbe pensare, ma dentro un normale sito nel surface web, ricercabile con un comune motore di ricerca. In precedenza, erano anche stati diffusi a pagamento su un bot di Telegram lo scorso gennaio. Ora questo canale Telegram risulta chiuso.
Oggi, questo database è stato rilasciato gratuitamente sullo stesso forum di hacker per otto “crediti” del sito, una forma di valuta sul forum di hacker, pari a circa 2,19 dollari. E chiunque li potrebbe utilizzare per compiere attività di phishing mirato, quello che è conosciuto con il termine di “spear phishing”. Oggi oltre il 90% di tutti i cyber attacchi utilizzano il fattore umano e soprattutto l’email come vettore d’attacco. E se l’attaccante conosce molte e dettagliate informazioni sulla vittima da colpire potrà confezionare un attacco mirato, credibile e molto più efficace. Le informazioni più sfruttabili per un attacco sono quindi:
- Nome e Cognome
- Sesso
- Città e provincia di nascita
- Data di nascita (formato data + ora, anche se non visibile sul profilo FB)
Dal combinato di questi dati personali si potrà – per esempio – ricostruire il codice fiscale di una persona. Anche le informazioni su “Attività lavorativa e relazioni sentimentali” possono essere molto utili per profilare la vittima e compiere un phishing mirato. L’informazione più critica tra quelle pubblicate è probabilmente il numero di telefono, che molti utenti hanno inserito sul loro profilo Facebook. Forse l’hanno fatto dando seguito alla richiesta di Facebook o magari per attivare l’autenticazione a due fattori via SMS. Anche se questo numero è stato impostato come “privato”, quindi non visibile a chi visita il profilo, ora è diventato noto a tutti e presente nei database pubblicati.
“Facebook aiuti gli utenti”, la richiesta del Garante privacy italiano
Proprio sui rischi derivanti dai “numeri telefonici e indirizzi mail, disponibili online” si è focalizzata la comunicazione emessa in data 6 aprile 2021 dal Garante Privacy italiano ed avente come oggetto: “Furto di dati da Facebook: il Garante chiede al social network di adottare misure per limitare i rischi e avverte che l’utilizzo dei dati provenienti dalla violazione è illecito. Utenti invitati a prestare particolare attenzione a possibili anomalie sui propri cellulari”. Nella comunicazione il Garante “ha chiesto al social network di rendere immediatamente disponibile un servizio che consenta a tutti gli utenti italiani di verificare se la propria numerazione telefonica o il proprio indirizzo mail siano stati interessati dalla violazione”.
Al contempo il Garante ricorda che è vietato usare quei dati; anche quindi per utilizzi buoni, come quello del sito Have I been owned con cui sarebbe possibile scoprire se c’è il nostro cellulare o mail nel pacchetto dei dati pubblicati.
Data breach Facebook: serve trasparenza
“Il data breach che ha colpito Facebook è l’ennesimo esempio di violazione dei dati personali, questa volta a danno del gigante del web e soprattutto a danno dei 35 milioni circa di soggetti coinvolti”, dice Anna Cataleta, avvocata esperta di privacy, per P4I. “Il fatto induce a riflettere sulla lungimiranza dell’Europa che ha saputo adottare con il GDPR una normativa, ormai replicata in moltissimi Paesi al mondo, cha ha intercettato esattamente quelle che sono le esigenze di protezione e quindi di sicurezza che le organizzazioni devono porre in essere per arginare questi fenomeni”, aggiunge.
“Ma le valutazioni dei rischi e le misure di sicurezza tecniche ed organizzative che le organizzazioni sono tenute ad adottare sono vane se manca, come spesso invece accade, la trasparenza informativa, tassello fondamentale sia dal punto di vista giuridico – normativo che etico e dunque fondamentale per infondere fiducia e credibilità …ma sotto questo profilo ancora lunga appare la strada da percorrere”.
La preoccupazione del Garante italiano è evidente e ben motivata: attraverso la conoscenza del numero di telefono è possibile realizzare la truffa nota come “SIM swap fraud”, cioè la clonazione della SIM di un utente.
Come funziona la SIM swap fraud
Infatti, un malintenzionato riesce a trasferire da una SIM card a un’altra il nostro numero di telefono. Portare a termine un’operazione di SIM swapping illegittima significa ottenere il completo accesso al numero di telefono del legittimo (e ignaro) proprietario di tale numero.
Si tratta di una truffa purtroppo diffusa, anche grazie alla scarsa attenzione da parte dei provider di telefonia, i cui operatori talvolta eseguono operazioni di “cambio SIM”, senza eseguire i dovuti controlli sul richiedente. Spesso può bastare una semplice telefonata del tipo: “Mi hanno rubato il telefono, mi serve un’altra SIM su cui riavere il mio numero…”, magari aiutata da qualche abilità di social engineering per convincere l’operatore.
Il problema è serio e per questo motivo l’Autorità Garante delle Comunicazioni (Agcom) sta intervenendo: nel dicembre 2020 ha pubblicato una prima delibera con nuove regole per rendere più sicuro il cambio SIM, imponendo obblighi più stringenti ai fornitori di servizi mobili.
La SIM swap fraud è utilizzata soprattutto per compiere truffe finanziarie. Laddove per eseguire operazioni dispositive (per esempio bonifici) è prevista l’autenticazione a due fattori via SMS, sarà il truffatore a ricevere l’SMS con i codici di autenticazione a due fattori (ovviamente dopo aver ottenuto, in genere con tecniche di phishing, le credenziali di accesso all’account di home banking).
Il proprietario dello smartphone si troverà con il dispositivo muto e disconnesso dalla rete. Quando si sarà reso conto che la sua SIM non è più attiva potrebbe essere troppo tardi e i soldi già scomparsi dal suo conto corrente.
Un altro rischio collegato alla conoscenza del numero di telefono è quello che questo numero è spesso utilizzato come sistema di autenticazione ed impiegato per le operazioni di “cambio password” negli account.
Tutti i servizi online prevedono il pulsante “Ho dimenticato la password”, utile per reimpostare una password dimenticata. Il link che permette di cambiare la password viene in genere inviato all’indirizzo email utilizzato dall’utente in fase di registrazione. Per maggior sicurezza, molti servizi richiedono anche la verifica di un numero di telefono (che l’utente ha precedentemente indicato) mediante l’invio di un SMS al numero medesimo.
Se l’attaccante ha accesso all’email della vittima (anche in questo caso potrebbe averne rubato le credenziali con tecniche di social engineering) ed ha preso il controllo anche del suo numero di telefono, potrà procedere facilmente all’account takeover, cioè impossessarsi di molti degli account di un utente.
Non dimentichiamolo mai: la violazione della casella email da parte di un malintenzionato, combinata con una SIM swap sul numero del cellulare rappresentano un passe-partout formidabile per un attaccante. A questo punto non ci avranno rubato una chiave, ma l’intero mazzo delle nostre chiavi.
Data breach, come evitare rischi
Ovviamente se i dati sono già stati pubblicati, non si potrà farli scomparire. Dobbiamo mettere in conto che il Dark Web (ma anche il surface Web, che noi tutti usiamo) è pieno di database contenenti miliardi di informazioni personali e soprattutto di password compromesse e rubate.
In questo specifico data breach – come detto – non compaiono password, ma altri dati, soprattutto nostri numeri di telefono.
Come verificare se tra i 533 milioni di utenti violati ci sono anche i nostri dati
Essendo i database ormai pubblici, sono comparsi in rete molti servizi che dovrebbero aiutarci a scoprire se il nostro telefono è tra quelli pubblicati.
Come segnala Arturo di Corinto, è apparso un sito con il nome “HaveIbeenFacebooked?”, creato da due italiani. Ma il Garante è intervenuto, valutando che tale sito violasse la privacy e ne ha disposto la chiusura. Oggi andando sull’URL seguente , questo risulta chiuso con la scritta “451 – Unavailable For Legal Reasons” ed è indicata la motivazione del Garante.
Nel frattempo è apparso un altro sito, creato da The News Each Day che offre il medesimo servizio. Ma trattasi di un sito sul quale la stessa comunità hacker ha manifestato molte perplessità, perciò ne sconsigliamo l’uso.
Abbiamo però un’altra opzione: consultare il noto sito “Have I Been Pwned?”, realizzato già dal 2013 dal famoso esperto australiano Troy Hunt e sulla cui credibilità non esistono dubbi. Troy ha valutato i pro ed i contro di un’operazione del genere (come ha espresso sul suo account Twitter @troyhunt):
E, come ha scritto nell’articolo sul suo blog, ha deciso di caricare il data breach sul sito Have i been pwned (che ora conta ben 11.145.906.797 di “pwned accounts”) e di rendere possibile la ricerca anche per i numeri di telefono. Troy Hunt precisa che la ricerca per numero di telefono vale solo per il data breach di Facebook, non per altri casi.
Ora nella homepage del sito è possibile digitare non solo l’email (come era in precedenza), ma anche il numero di telefono in formato internazionale, cioè nel formato E.164. In pratica, prendendo ad esempio un numero italiano, questo andrà digitato come: +39 3xx yyyyyyy (con o senza gli spazi).
Ho personalmente provato con numeri noti ed alcuni di questi (riferibili ad utenti Facebook che conosco) risultano effettivamente presenti nel data breach. Teniamo presente che circa il 90% degli utenti Facebook italiani sono coinvolti, ma non tutti hanno scelto di comunicare il loro numero di telefono a Facebook.
Le misure di sicurezza da adottare
Vediamo ora, in sintesi, quali sono le best practices che un utente dovrebbe adottare per minimizzare i rischi che questo data breach ha generato.
- Cambiare la password del proprio account Facebook: in realtà in questo incidente le password non risultano coinvolte, ma si tratta comunque di una precauzione opportuna.
- Non riutilizzare una password già usata per altri servizi: il “password reuse” rappresenta una pessima e pericolosa abitudine.
- Attivare sull’account Facebook l’autenticazione a 2 fattori (2FA): questa è una misura che andrebbe adottata su tutti i nostri account importanti. A maggior ragione dopo la notizia di un data breach di questa dimensione. Dobbiamo essere consapevoli che un’autenticazione basata solo su password è intrinsecamente debole, anche se la password impostata è robusta, perché la sicurezza dell’account dipende da un solo fattore, appunto la password. Per innalzare i livelli di sicurezza sono state introdotte perciò le tecniche di “Strong Authentication” o autenticazione a due o più fattori, che oggi tutti i siti più noti rendono disponibile come opzione a scelta, da attivare a cura dell’utente. Solo per i servizi bancari è obbligatoria di default, in ottemperanza alla direttiva PSD2. Per vedere quali siti offrono l’autenticazione a due fattori e con quali modalità (possono essere più d’una, oltre a quella con SMS), consiglio di consultare il sito https://twofactorauth.org.
- Non utilizzare per l’autenticazione a 2 fattori l’opzione “con SMS”: proprio per i motivi che abbiamo spiegato ed in particolare per il rischio di SIM swapping, la 2FA con SMS è l’opzione meno sicura. A maggior ragione ora che i numeri di telefono degli utenti Facebook sono diventati pubblici! Non usando SMS, eviteremo anche di comunicare a Facebook il nostro numero di telefono e questa è una misura che consiglio.
Facebook e l’utilizzo dei numeri di telefono
L’uso che Facebook fa dei numeri di telefono degli utenti è sempre stato molto ambiguo e con risvolti inquietanti per la privacy: fino al 2018 l’autenticazione a due fattori (2FA) su Facebook era possibile solo dando il proprio numero di telefono (al quale veniva inviato via SMS il codice numerico a 6 cifre di seconda autenticazione).
Tale numero di telefono doveva essere usato da Facebook solo per la 2FA, ma Jeremy Burge, fondatore di Emojipedia, ha scoperto che un numero di telefono registrato per la 2FA era ricercabile direttamente sul social.
In realtà questa impostazione può essere disabilitata dall’utente tramite la pagina dedicata nelle impostazioni Privacy di Facebook, ma l’impostazione predefinita alla voce “Chi può cercarti usando il numero di telefono che hai fornito?” è “Tutti”. E la maggioranza degli utenti non ne è neppure a conoscenza o non sa come modificarla.
Non solo: Gizmodo ha segnalato che il numero di telefono utilizzato per la 2FA veniva fornito anche agli inserzionisti per profilare i post.
Autenticazione a due fattori: quando attivarla e come protegge i nostri account
A seguito di queste scoperte, nel 2018 Facebook è stata obbligata ad offrire per la 2FA anche l’opzione alternativa con l’utilizzo di app dedicate (che generano il codice di verifica), quali Authy o Google Authenticator.
- Impostare la 2FA con l’utilizzo di app dedicate: è una soluzione più sicura e da preferire al codice via SMS. In alternativa, è possibile utilizzare per la 2FA dispositivi hardware costruiti secondo lo standard FIDO U2F Security Key. Trattasi di uno standard di autenticazione open source, creato inizialmente da Google e da Yubico e successivamente confluito nella FIDO (“Fast IDentity Online”) Alliance. Sono le chiavette YubiKey di Yubico, oppure le Titan Security Key di Google.
- Elevare il livello di privacy del profilo Facebook: impostare il profilo in modalità “privata” o comunque ridurre il numero di informazioni personali che un visitatore può visualizzare. Questo si può fare nelle “Impostazioni sulla privacy e strumenti” del profilo. In questo modo un eventuale attaccante non potrà vedere le nostre informazioni (o comunque le vedrà in minima parte), per diminuire la raccolta dati durante attività di social engineering. Teniamo sempre presente che i social media sono una delle principali fonti di raccolta di informazioni per le attività di OSINT (Open Source INTelligence) che sono propedeutiche ad un attacco.
- Fare ancora più attenzione al rischio Phishing e Smishing: con nome, cognome, indirizzo, telefono, luogo di lavoro diventa ancora più facile realizzare attacchi mirati. È possibile, per esempio, ricostruire la sintassi dell’indirizzo email dell’azienda dove uno lavora. Una campagna mirata di spear phishing o smishing (“sms phishing”) sarà ancora più convincente nel farci cliccare sul link infetto o fraudolento se l’attaccante conosce la nostra data di nascita o il nostro codice fiscale.
Quindi dobbiamo aspettarci che questo data breach sia un fattore scatenante per nuove e più efficaci campagne di phishing. In conclusione: non possiamo impedire che nostri dati diventino pubblici, per colpa di altri.
Ma dobbiamo usare sempre la testa, perché la prima linea di difesa è sempre la consapevolezza dell’utente.