
Facebook, 533 milioni di profili violati nel 2019 sono diventati pubblici
12 Aprile 2021
Nei giorni scorsi sono riaffiorati nuovi dettagli in merito alla violazione di 533 milioni di dati personali relativi a utenti iscritti a Facebook. La notizia risale già al 2019 quando sono state rese disponibili online le informazioni di circa un quinto di tutti i profili aperti nel mondo, provenienti da ben 106 Stati differenti.
Nello specifico, si tratterebbe di nome e cognome, numeri telefonici, indirizzi email, informazioni sulla localizzazione e, in alcuni casi, altri dati contenuti nella biografia.
La particolarità riguarda il fatto che questo database non è stato messo in vendita sul dark web, bensì su forum di hacker ospitato su un comune sito web e, quindi, potenzialmente visibile in chiaro da tutti.
La falla di sicurezza
Questa violazione si suppone sia collegata a una vulnerabilità del social network che sembrerebbe sia stata risolta ad agosto 2019. Facebook aveva confermato la violazione ma non aveva fornito molti dettagli in merito.
Da ciò che si conosce, l’hacker sarebbe riuscito a estrarre i dati degli utenti senza autorizzazione sfruttando una “porta lasciata aperta”, finché Facebook non si è accorto dell’intrusione e ha chiuso l’accesso.
Il bot su Telegram
Lo scorso gennaio, poi, si era diffuso sull’applicazione di messagistica Telegram un “bot” che permetteva, a fronte del pagamento di una quota, di poter ottenere le informazioni personali contenute nel database.
Chiunque poteva “interrogare” il bot per mezzo dell’inserimento del numero di telefono e ottenere come risposta l’ID Facebook dell’utente corrispondente.
Gli amministratori di Telegram, una volta venuti a conoscenza del fatto, hanno provveduto a bannare il bot lo scorso 27 gennaio.
I nuovi dettagli
La novità emersa in questi giorni concerne il fatto che ora il database è stato reso disponibile gratis ed è accessibile a chiunque. Il problema è rilevante se si pensa che ora quei dati possono essere a disposizione di più persone e, dunque, possono essere utilizzati per moltissimi scopi.
Questo data breach, tra l’altro, riguarda in maniera considerevole anche gli utenti italiani, dato che si calcolano più di 35 milioni di account violati, più del 50% di tutta la popolazione.
I rischi per le persone
Che cosa possono fare eventuali malintenzionati con i nostri dati?
Innanzitutto, i dati in oggetto possono essere usati per campagne di phishing – e smsishing – che sfruttano le debolezze tecnologiche di alcune persone per tentare di carpire ulteriori informazioni personali e commettere frodi o furti di identità. Un classico esempio è un messaggio o un’email che ti dice: “Sei il nostro milionesimo visitatore! Hai vinto un IPhone X. Clicca su questo link per maggiori dettagli”.
Inoltre, il rischio maggiore, ora che il database è praticamente pubblico, riguarda un eventuale incrocio dei diversi dati che sono a disposizione di malintenzionati. Se, infatti, vengono messi in relazione database provenienti dai data breach più consistenti avvenuti negli ultimi anni, è possibile ricavare informazioni prima sconosciute.
La risposta del Garante Italiano
A seguito della vicenda, anche il Garante privacy ha espresso preoccupazioni. In particolare, ha chiesto a Facebook di rendere subito disponibile agli utenti un servizio che consenta di verificare se il proprio numero di telefono o il proprio indirizzo mail siano stati oggetti del data breach.
Il Garante, inoltre, invita gli utenti a prestare particolare attenzione nelle prossime settimane a possibili anomalie connesse all’uso dei propri dispositivi, soprattutto con riferimento alle utenze telefoniche. Se ci si dovesse accorgere di malfunzionamenti, occorrerebbe contattare il proprio operatore telefonico «per verificare le ragioni del problema e, in particolare, per verificare che terzi, fingendosi noi, non abbiano chiesto e ottenuto un trasferimento della nostra numerazione su un’altra SIM».
Infine, il Garante avverte che non è consentito in alcun modo utilizzare i dati oggetto della violazione, nemmeno per fini positivi. Si raccomanda, dunque, a chiunque dovesse entrare in possesso di questi dati di fare attenzione, dato che un eventuale utilizzo è severamente vietato dalla normativa in materia di privacy.
Conclusioni
Non serve farsi prendere dal panico, e nel caso in cui scopriate che i vostri dati siano coinvolti nella violazione, dovete semplicemente:
- Cambiare la password della mail e dell’account Facebook
- Non utilizzare più la password precedente, in quanto non più sicura
- Se usavate la stessa password per altri servizi, cambiare tutte le password
- Fare attenzione nel cliccare su link che ricevete per sms o email