Data breach di Facebook: cosa è successo e come difendersi

Il 3 aprile scorso il sito di informazione Business Insider ha pubblicato un articolo che ha riaperto il dibattito sull’efficacia della sicurezza di Facebook. Il motivo riguarda la scoperta di un database pubblicato in rete contenente le informazioni personali di 533 milioni di utenti in tutto il mondo, ovvero un quarto degli utilizzatori totali della piattaforma. Un problema non da poco visti gli scandali che hanno colpito il famoso social network negli ultimi anni, primo fra tutti il caso di Cambridge Analytica. Cosa è successo questa volta?

Leggi anche:  The Social Dilemma: uno sguardo controverso sui retroscena dei social media più popolari.

Alon Gal e Business Insider: scoperta e conferma del data breach

Il 3 aprile, il ricercatore ed esperto di sicurezza Alon Gal ha comunicato su Twitter che una lista di contatti telefonici appartenenti ad altrettanti utenti Facebook era appena stata condivisa in un blog e chiunque poteva consultarla gratuitamente. Lo stesso giorno, partendo dalla segnalazione di Gal, il sito di informazione Business Insider ha confermato la fuga di dati dai server della piattaforma. Grazie a controlli incrociati, la testata ha convalidato la veridicità di quella lista, specificando che le informazioni diffuse comprendevano anche nome completo dell’utente, età, situazione sentimentale, posizione geografica e indirizzo mail. La portata del data breach è imponente: 533 milioni di utenti interessati, distribuiti in centosei nazioni, tra cui anche l’Italia. Il nostro Paese risulterà terzo per numero di account violati: trentacinque milioni e seicentomila profili colpiti, pari a circa il novanta per cento di tutti gli utilizzatori italiani.

Alon Gal - tweet di conferma del data breach di Facebook
Il tweet del 3 aprile di Alon Gal.

Un portavoce di Facebook ha affermato che i dati sono stati carpiti dai server della piattaforma attraverso il metodo dello scraping. Questa pratica consiste nell’utilizzare dei software automatizzati che analizzano il codice sorgente dei siti internet per estrarne specifiche informazioni. Essendo lo stesso metodo usato dai motori di ricerca per ricavare informazioni utili all’indicizzazione dei siti, non si può parlare propriamente di attacco hacker. Questo, però, non sminuisce quanto successo. In primo luogo, perché sorgono dubbi legittimi circa la tenuta dei sistemi di sicurezza e protezione di Facebook, vista la quantità di informazioni personali e sensibili che sono contenute nei suoi server. In secondo luogo, la diffusione illecita di dati che non dovrebbero essere visibili a tutti comporta dei rischi notevoli per gli utenti coinvolti.

La posizione di Facebook

Secondo una nota ufficiale della piattaforma, la fuga di dati era cosa nota e risaliva a un periodo antecedente a luglio 2019. Specifica, inoltre, che lo scraping è avvenuto a causa di una vulnerabilità dell’applicazione che permetteva agli utenti di connettersi ai propri contatti. Aggiornamenti successivi hanno poi risolto il problema e tappato la falla. Nel complesso, la nota pubblicata è rassicurante, ma non c’è dubbio che sia arrivata con colpevole ritardo. La domanda che sorge spontanea è se Facebook avrebbe mai avvisato i propri utenti del data breach, senza lo scoop del Business Insider.

In un articolo del quotidiano The Guardian, Kari Paul afferma che Facebook, attraverso la sua nota, considera non solo la notizia vecchia, ma che, di conseguenza, lo sono anche i dati sottratti. Inoltre, tenendo conto che le informazioni sono limitate a quelle pubblicate dagli utenti, e che la situazione si era già risolta da tempo, non ci sono motivi per preoccuparsi. Un tentativo di rassicurazione non sufficiente, secondo lo stesso quotidiano. In un’economia digitale, in cui le informazioni degli utenti sono considerate una vera e propria risorsa, i dati trapelati non possono mai considerarsi vecchi e hanno sempre valore per i cybercriminali. Innanzitutto, per l’aspetto economico, visto che in un primo tempo le informazioni erano consultabili a pagamento sia su un blog, che tramite un contatto Telegram ora chiuso. Ma, più importante ancora, perché hacker organizzati potrebbero usare quelle informazioni per commettere frodi online.

Facebook: tra violazioni e responsabilità

Vulnerabilità o meno, il fatto che i dati di centinaia di milioni di utenti siano stati sottratti dai server viola i termini di servizio di Facebook. Come affermato dal portavoce Mike Clark, ci sono squadre interne all’azienda di Menlo Park che lavorano costantemente per proteggere e garantire la sicurezza dei dati degli utenti. Però, come sottolineato da Aron Gal, anche se il social network non può fare nulla per impedire che quei dati siano consultabili online, avrebbe dovuto perlomeno avvisare i propri utenti. E non solo per una questione di trasparenza.

Ad esempio, il GDPR prevede che gli utenti europei vengano avvisati nel caso in cui siano coinvolti in un cyber attacco. Per questo motivo, l’Ireland’s Data Protection Commission investigherà se la fuga di informazioni comporti la violazione di regole da parte di Facebook. Anche il Garante della Privacy è intervenuto al riguardo. In una nota ufficiale afferma che la piattaforma deve adottare misure adeguate per limitare i rischi. Inoltre, in seguito alla violazione dei sistemi e alla perdita di dati, Facebook deve impegnarsi a fornire un servizio che consenta agli utenti italiani di verificare se i dati del proprio profilo sono stati violati.

Leggi anche: Il perché e il percome della divisione di Facebook.

I rischi del data breach

La nota del Garante della privacy elenca, in aggiunta, i rischi per gli utenti coinvolti. L’indirizzo e-mail e il numero di telefono possono essere usati per una serie di condotte illecite, che vanno dalla semplice ricezione di messaggi e chiamate indesiderate, a minacce più serie. Una di queste è la pratica del phishing. L’utente viene contattato via mail o SMS da un finto ente o servizio, del tutto simile all’originale, e raggirato per fornire dati sensibili. Un ulteriore rischio è rappresentato dal sim swapping. In questo caso, l’accesso al contatto telefonico di un utente permette di violare diversi servizi online che utilizzano il numero di telefono come sistema di autenticazione. 

… e le possibili difese

Vere e proprie soluzioni per cancellare dalla rete o mettere al sicuro i dati trapelati non sono possibili. Nonostante il ritardo con cui è uscita la notizia del data breach, gli utenti possono tenere a mente le seguenti indicazioni per non incorrere in truffe. Esperti e Garante della privacy consigliano di tenere monitorato il proprio numero di telefono. Nel caso si presentino anomalie, come improvvisi perdite di connessione, bisogna contattare subito il proprio gestore telefonico. Qualche malintenzionato, fingendosi l’utente violato, potrebbe chiedere il trasferimento del numero su un’altra sim.

Anche se non figura tra le informazioni trafugate con il data breach, bisogna prestare particolare attenzione alla password. Il consiglio è di cambiarla, possibilmente con una non usata per altri servizi. Un altro suggerimento è quello di attivare l’autenticazione a due fattori (2FA) sul proprio account Facebook, ma non con l’opzione SMS. La sola password, per quanto robusta, potrebbe non proteggere adeguatamente il proprio profilo. E ora che i numeri sono diventati pubblici, ricevere un SMS per autenticare l’accesso al proprio account è l’opzione meno sicura.

Inoltre, è possibile vedere se la propria mail e il proprio numero di telefono sono stati violati consultando Have I Been Pwned, sito accreditato e di fiducia consolidata dello sviluppatore australiano Troy Hunt. È sufficiente inserire la mail o il numero di telefono nella barra di ricerca dell’homepage per verificare se si è rimasti vittima non solo del data breach di Facebook, ma anche di altri episodi di furto di dati in passato.  

Have I been pwned. Controllo data breach Facebook
Homepage del sito Have I Been Pwned
Gestione cookie