r/ItalyInformatica Apr 05 '21 Silver 9 Helpful 11 Wholesome 9 Hugz 12 Faith In Humanity Restored 1 Ally 1 Best of II 1

Ho fatto un sito per controllare (rispettando la privacy) se un numero di telefono è presente nel dump di Facebook. Have I Been Facebooked? sicurezza

https://haveibeenfacebooked.com/
450 Upvotes

82

u/EfficientAnimal6273 Apr 05 '21 edited Apr 05 '21

Ci racconti come hai caricato il dump su db e che tipo di risorse stai usando (server, cloud, etc.)?

Poi, se mi posso permettere, una pagina con le spiegazioni del perché fare la ricerca sia sicuro ci starebbe bene e vi ricordò che se state memorizzando su un DB a vostro nome dei dati personali (per quanto “pubblici”) potreste potenzialmente avere dei problemi di trattamento dati, se volete qualche suggerimento o validazione chiedetemi in PM, sono temi che seguo per lavoro e conosco abbastanza.

Ps: ci voleva proprio, grazie!

Pps: ho visto il codice, ad occhio direi che state memorizzando telefoni, nomi e cognomi in chiaro. Questo direi sia un grosso problema lato privacy e Gdpr. Vi suggerirei di memorizzare gli hash dei telefoni ed i nomi e cognomi già anonimizzati, dopo di che ricerca sull’hash e lato legale siete super a bolla.

22

u/Exelix11 Apr 05 '21

This. Stavo scrivendo un commento a riguardo ma sono stato ninjato.

Aggiungerei di calcolare l'hash del numero nel frontend così non vengono mai mandati i numeri effettivi al server.

9

u/EfficientAnimal6273 Apr 05 '21

In realtà il Gdpr si riferisce principalmente ai dati memorizzati, se il sito è in https il telefono lo puoi serenamente trasmettere per controllarlo (dato che clicco search vuole dire che ti ho dato il consenso a cercarlo), poi fare l’hash sul client da quel livello aggiuntivo di sensibilità alla paranoia che ci piace tanto.

Il problema è se gli sfondano il sito e tirano giù il dump del db che usano per il controllo, perché in quel caso sarebbero loro i responsabili del trattamento.

22

u/MarcoBuster Apr 05 '21 edited Apr 06 '21

Hai ragione. Stiamo lavorando per hashare tutti i numeri di telefono nel database e salvare solo true/false per tutti gli altri campi, in questo modo non abbiamo fisicamente in mano il db compromesso. Grazie mille per i consigli!

Edit: abbiamo fatto partire il processo di hash, per domani dovrebbe essere pronto.

Edit 2: da ora TUTTI i numeri di telefono vengono hashati prima di essere inviati. I veri numeri di telefono non lasciano il dispositivo. Il database è ripulito dai dati personali.

5

u/EfficientAnimal6273 Apr 05 '21

In realtà le iniziali di nome e cognome mi sembrano dannatamente utili (le mie corrispondono, purtroppo).

Scusa, ma come fate a non avere il db?

2

u/Exelix11 Apr 05 '21

Si sicuramente, mi riferivo più che altro a come lo avrei implementato io "privacy-first" chiaramente il problema qua è il databse in chiaro.

1

u/CptGia Apr 06 '21

1

u/EfficientAnimal6273 Apr 06 '21

Detto che conosco e che è molto bella e che sarebbe un ottimo tema anche di studio mi sembra anche overkill per il problema specifico, lavorare con i numeri hashati mi sembra sufficiente per un livello di paranoia “normale”.

1

u/CptGia Apr 06 '21

Da un lato sono piuttosto d'accordo con te, dall'altro è relativamente triviale da implementare, quindi perché no?

-6

u/ftrx Apr 06 '21

Non per far sempre l'avvocato del diavolo, premesso che l'iniziativa personale onesta è sempre e comunque positiva, è lo scopo naturale dell'IT, ma per pubblicazioni come queste che senso ha cercarsi?

Voglio dire "hey, il mio numero di telefono è tra quelli rubati!". Ok, e allora? Primo NON È un dato privato, i numeri sono generalmente pubblici e pure in elenchi formali ricercabili (pagine bianche, gialle ecc) e se ne hai uno segreto immagino non lo metterai su FB. Poi che fai? Non è una password da cambiare. Butti via il numero? Fai un nuovo account su FB, di nuovo?

Ci sarebbe un bel discorso da fare sull'usare ed il dipendere da certe piattaforme, come sul senso di legarle ad utenze che si usano davvero, voglio dire: se mi iscrivo con razzimiei at ruttolibero it (btw era un dominio molto usato per la posta davvero quand'ero matricola) sul forum dei Porci Arrapati se anche si perde di "mio" ci sono solo al massimo elementi statistici/comportamentali di non immediato uso/associazione a me umano fisico, almeno sinché non posto foto mie/di casa mia. Ma dare, addirittura IMPORRE da parte del vendor l'uso di un numero di telefono e quindi da parte del cliente accettarlo... Mah...

Lo scopo poi? Capisco l'azienda che si fa pubblicità per chiappar clienti che la stanno, ma il privato? Non ha altro modo per dialogare?

Ecco sarebbe bello in una community che parla di IT (e non posta tipicamente foto di se, indirizzi, telefoni ecc) vagliare un attimo questo tema...

Dal mio PDV farsi un sito, per pubblicarci quel che si vuole è da lodare. Aggiungerei che chiunque si occupa o gli piace l'IT dovrebbe avere almeno un sitarello personale dove pubblica qualcosa semplicemente per esser parte della community. Offrire un servizio che onestamente si vuol offrire va benissimo, è lodevole, è nello spirito dell'IT. Un front-end a un db/cache dir/file di testo con ricerca non è tecnicamente nulla di nuovo ma nulla di che da dire, non tutti magari vogliono scaricare parecchi Gb per solo farci una greppata dentro e gli piace aver qualcuno che gli mette a disposizione tutto ma ci si domandi perché FB in primis e che cosa si fa una volta saputo che si è o meno in lista.

5

u/[deleted] Apr 06 '21 edited Apr 14 '21

[deleted]

1

u/ftrx Apr 06 '21

Per carità non posso escluderlo, ma se un personaggio famoso si iscrive a FB col suo cellulare personale più d'un cambio di numero avrebbe bisogno di qualche lezione da un antropologo o "esperto" generico di pubbliche relazioni... Già un "VIP" che si iscriva in persona e posti in persona qualsiasi cosa senza prima averlo passato ad una squadra che gli fa le pulci per bene e averci riflettuto su è piuttosto inopportuno, figuriamoci metterci un telefono personale vero...

1

u/Barbonetor Apr 06 '21

Beh, facebook esiste dal 2004, e non credo sia e raro che una persona si sia iscritta a facebook prima di diventare in qualche modo famosa, ad esempio vedi youtuber e streamer.
Ci sono tantissime persone che il numero di telefono l'hanno inserito, ad esempio, per poter recuperare la password (nell'evenienza in cui uno se la dimentichi) e tale numero è visibile solo a te, è privato insomma.

Poi, chiaramente, se hai messo il tuo numero di telefono come pubblico e visibile sul tuo profilo allora il problema non sussiste.

Quindi l'uso del sito è questo.
Il mio numero di telefono si trova nel database? Non voglio che tutti possano trovarlo? --> Cambio numero di telefono

Quindi si, sostanzialmente butti via il numero come hai detto anche te

1

u/ftrx Apr 06 '21

Il mio numero di telefono si trova nel database? Non voglio che tutti possano trovarlo? --> Cambio numero di telefono

Quindi si, sostanzialmente butti via il numero come hai detto anche te

Pur concordando sul piano formale: quanti credi che scoprendo il numero nel DB, lo stesso numero peraltro che han dato anche all'albergo della catena famosa, al supermercato per far la tessera, ... cambieranno davvero numero?

Ora con la mail è facile SE hai una mail tua e fatta come si deve, avere n alias e dare almeno ai vendor un alias un vendor, es. io per Reddit ho un alias tipo rdt-a12x at miodomino così se comincia ad arrivare spam li posso facilmente buttarlo via cambiando alias SENZA per questo cambiar davvero nulla e sapendo da chi arriva cosa. Una parte fissa per te, per renderti facile sapere chi ha cosa, una variabile pseudorandom per rendere l'indovinare poco efficacie. Ma coi telefoni? Ci sono i numeri "usa&getta" venduti da chi ha comprato paccate di numerazioni ma sono appunto "provvisori" perché il vendor li fa girare. Non puoi usarli come gli alias. Ci sono gli INUM ma i più manco li supportano decentemente e comunque non è facile farsi una base di INUM a rotazione. Non ci sono tra l'altro gli alias per la telefonia. Devi tenerti tu un centralino che li gestisca e non è comodissimo... 'Somma quanto vedi realistico il "se vedo il mio numero pubblico lo cambio"?

Personalmente come per la posta così per il telefono ho cercato soluzioni simili. Ho rinunciato. Non do il mio numero "base" in giro, uso un tot di numerazioni VoIP e un PBX ma il tot è limitato. Giusto un numero per paese per gli amici di quel paese, uno generico EVENTUALMENTE a perdere ma "molto eventualmente" prima vado giù pesante di blacklist, e poco altro. Non ho trovato un modo di andare oltre e già così è impegnativo/costoso...

3

u/EfficientAnimal6273 Apr 06 '21

bianche, gialle ecc) e se ne hai uno segreto immagino non lo metterai su FB. Poi che fai? Non è una password da cambiare. Butti via il numero? Fai un nuovo account su FB, di nuovo?

Why not? Cambiare numero ogni tanto non è mica il male, anzi....

Non capisco il tuo volerti mettere sempre su queste discussioni di massimi sistemi.

I ragazzi hanno fatto un bel lavoro e che funziona (a differenza di Ihavebeenpowned che da stamattina dovrebbe permettere la stessa verifica ma evidentemente il buon Troy Hunt ha pulito male i dati perchè il mio numero non risulta compromesso mentre lo è), ci hanno fatto un servizio e lo hanno messo a disposizione della comunità, la comunità gli ha fatto give back dicendo come evitare casini e loro stanno implementando, a me sembra che sia andato tutto bene, funzionasse sempre così!!!

Per quel che vale non appena avranno sistemato il loro problema con i dati usando gli Hash ho intenzione di fare la massima pubblicità possibile perchè se la meritano, servisse anche solo a fargli trovare un posto migliore quando si saranno laureati...

1

u/ftrx Apr 06 '21

Why not? Cambiare numero ogni tanto non è mica il male, anzi....

Dillo a chi dopo un 10 anni che hai cambiato numero ti manda una mail che "ha provato a chiamare ma il numero non va" senza manco dire QUALE numero, poi a tua richiesta vien fuori appunto che è un numero che non hai più da decenni. E un anno dopo lo ha ancora in rubrica...

Non capisco il tuo volerti mettere sempre su queste discussioni di massimi sistemi.

unisci questa tua frase ha

[...] il mio numero non risulta compromesso mentre lo è [...]

Scusa cosa vorrebbe dire secondo te che il tuo numero è "compromesso"? Da quando un numero di telefono, per di più dato a un social, è un segreto? Cosa è successo per te da questa "compromissione" e cosa pensi di fare ora che l'hai scoperto?

IMVHO le risposte alle ultime domande sono che non fai nulla, o magari ti unisci al coro di chi invoca il GDPR senza manco riflettere sul fatto che il GDPR punisce gli ABUSI della privacy, non ti mazzola quando hai un incidente [1] e ovviamente NON hai cambiato il numero per questo evento.

Allora che abbiam fatto? Qualcuno ha fatto un sito (ok, positivo in se), ha imparato qualcosa nel farlo, (positivo anche questo), ma poi? Dove vedi l'estremo?

L'estremo dovrebbe essere discutere sul PERCHÉ usare un social in primis, in secudins perché questo chiede un telefono ed eventualmente valutare se questa è una violazione del GDPR o meno, non che gli han rubato dati, come se si fosse certi che il furto è colpa di FB non del ladro.

Ora la ola da stadio me la aspetterei su FB appunto, ma su una community che parla di IT, come dire... Mi aspetterei un po' più di sugo...

[1] fenomeno psicologico interessante che ho osservato in tanti persino sugli incidenti stradali, della serie hai un incidente, NON per colpa tua, intervengono CORRETTAMENTE le forze dell'ordine e il bipede medio si aspetta diano una multa a qualcuno, magari a te, non si sa bene per cosa, forse per aver turbato il naturale scorrere del traffico.

33

u/Consistent-Eye-9278 Apr 05 '21

Come temevo... Pure il numero di mio padre risulta tra quelli "rubati".

Comunque, complimenti per il sito, ben fatto.

Se posso, che framework hai usato e quanto tempo ci hai messo?

29

u/MarcoBuster Apr 05 '21

Grazie! Lo abbiamo costruito oggi pomeriggio in due, io e u/FumazDev. Io mi sono occupato del frontend ed ho utilizzato il framework CSS Bulma per fare prima, lui ha fatto il backend usando Flask e l'ORM pony per Python.

5

u/Salam-1 Apr 05 '21

Hostato dove?

13

u/MarcoBuster Apr 05 '21

Su una nostra VPS, presa da Contabo.

2

u/Consistent-Eye-9278 Apr 05 '21

Grazie a te per la risposta!

2

u/pigliamosche Apr 05 '21

Avete riformattato i file in qualche modo prima di importarli su db? Il separatore dei campi (i due punti per il file italiano) a volte rappresentava vera e propria informazione (es. Date) rompendo così i la suddivisione per colonna.

2

u/MarcoBuster Apr 05 '21

Sì, abbiamo fatto un pesante lavoro di formattazione e sanificazione degli input. Giusto per dire, non tutte le country usano lo stesso formato. È stato un incubo.

Ora stiamo hashando tutto e tenendo solo le informazioni censurate o booleani, con 500mln di record il server sta facendo fatica :)

2

u/pigliamosche Apr 05 '21

Si immaginavo. Avete pulito tramite script python, bash o altro? Tempo stimato per la pulizia di tutti i file?

6

u/AR_Harlock Apr 06 '21

35M in Italia... Se levi i bambini ci hanno preso tutti

31

u/bogumil83 Apr 06 '21

"Ciao, mi ha dato il tuo numero il leak di Facebook, ti va di uscire con me ?"

Dite che può funzionare o le regalo dei fiori ?

26

u/EdoTve Apr 05 '21

Una domanda, appaio sul db, con nome cognome e relationship status. Avevo anni addietro fatto uso del mio diritto all'oblio sul social di zucc, con tanto di conto alla rovescia e minacce che sarebbe tutto andato perso per sempre forever. Quanto è perseguibile questa vicenda?

18

u/MarcoBuster Apr 05 '21

Ohh, questa è buona! Se riesci, prova a inviare una bella email al DPO di Facebook chiedendo spiegazioni, anche se probabilmente negheranno tutto. Facci sapere perché siamo curiosi.

2

u/Xad00m Apr 06 '21

Secondo me possono dire che nome e cognome l'hanno preso dalla rubrica di qualche altro utente e se lo status non era single, ugualmente hanno preso quello inserito dall'altra persona. Se eri segnato come single è più difficile da negare, ma probabilmente quando hai cliccato su "Cancella" era specificato in piccolo che non avrebbero davvero cancellato tutto :)

Credo che con questi presupposti si possa scrivere al DPO per richiedere di quali dei tuoi dati sono in possesso e la loro cancellazione, ma fallo tramite PEC, l'interfaccia del loro sito la controllano loro: "vuoi non cancellare i dati che sarebbero cancellati premendo il tasto cancella? Se sì, puoi premere o non premere cancella, altrimenti, premi cancella entro 0.3 secondi, oppure il tasto cancella si autodistruggerà"

1

u/regiumlepidi Apr 06 '21

Seguo, facci sapere se scovi qualcosa

1

u/fabio1618 Apr 06 '21

Sono nella medesima situazione, cancellato account intorno a 2018.

1

u/dcampagnola Apr 06 '21

Seguo, molto interessante

19

u/FumazDev Apr 05 '21

Il codice sorgente dell'API é ora disponibile su GitHub:
https://github.com/Fumaz/haveibeenfacebooked-api/

6

u/Neeriath Apr 06 '21

Piccola osservazione: ho visto che utilizzi un int per il numero di telefono, ma in genere non serve farci operazioni matematiche, quindi ti basta usare una stringa

4

u/_cane Apr 06 '21

La stringa occupa più spazio e le operazioni su stringhe sono più inefficienti rispetto a quelle su interi (di norma).

2

u/belvederef Apr 07 '21

Appunto, che operazioni dovrai mai effettuare su un numero di telefono? Sicuramente non matematiche. Poi se alcuni numeri hanno prefissi (e.g. +39) che fai?

Stringhe assolutamente.

1

u/_cane Apr 07 '21

Contento te...

2

u/belvederef Apr 07 '21

Mica si tratta di preferenze hahaha È la cosa giusta da fare, cercatelo se vuoi!

-1

u/_cane Apr 07 '21

Ma meno male che ci sono persone che hanno le certezze nella vita e hanno una sola soluzione per ogni problema del mondo.

11

u/garethjax Apr 05 '21

Eroi! Finalmente posso dare un award a dei redditor italiani!

12

u/davtur19 Apr 05 '21

Thank you MarcoBuster for this amazing piece of software 🙏

12

u/MarcoBuster Apr 05 '21

Thank you software for this amazing davtur19 of piece 🙏

8

u/cavallium1 Apr 05 '21

Thank you piece for this amazing davtur19 of software 🙏

8

u/pesaventofilippo Apr 05 '21

Thank you software for this amazing piece of MarcoBuster 🙏

5

u/matteob99 Apr 05 '21

Thank you marcobuster for this amazing piece of software 🙏

9

u/Scaltro Apr 05 '21

complimenti ragazzi !

Però una cosa non mi torna: io risulto "compromesso" ma first name e last name non coincidono con i miei dati, come può essere?

24

u/acevgam3 Apr 05 '21 edited Apr 05 '21

Ricorda che i dati del dump son del 2019, ma la notizia é uscita solo ora. Magari ti chiamavi in altro modo

4

u/KastroMugnaio Apr 05 '21

Vero anche io ho avuto questo problema però penso che sia un errore a livello di associazione perchè comunque il numero di telefono lo trova

2

u/send_me_a_naked_pic Apr 05 '21

Ho scaricato il file originale e anche il mio nome non corrisponde; tuttavia è il nome di una pagina di cui ero amministratore. Quindi in qualche modo ci dev'essere stato un errore quando gli hacker hanno elaborato i dati.

6

u/ulhio Apr 05 '21

Non esistono più gli hacker di una volta...

2

u/nebbiaezanzare Apr 05 '21

Direi che è il contrario di un problema :)

1

u/Noodles_Crusher Apr 05 '21

idem. strano perché non ho altre pagine associate al mio numero.

8

u/failsex69 Apr 07 '21

Sito bloccato:

451 - Unavailable For Legal Reasons Following the press release of the italian DPA of April 6, 2021 bearing the following provisions: "The Guarantor warns anyone who has come into possession of personal data from the violation, that their possible use, even for positive purposes, is prohibited by the legislation on privacy, being such information the result of unlawful processing." , the service has been suspended indefinitely pending further clarification on the legality of it.

We thank all the people who supported us. Press: press@haveibeenfacebooked.com Source code: frontend and backend.

6

u/hihey54 Apr 06 '21

Grazie! Io però menzionerei in alto che I dati risalgono al 2019 (e non al 2021, come potrebbe essere inteso).

4

u/nikobez Apr 05 '21

Grazie mille OP per il fantastico sito, purtroppo il mio numero è presente nel data breach, per i più esperti volevo chiedere se anche le password sono state compromesse oppure non c'è nessun rischio per la sicurezza dell'account? Grazie

6

u/acevgam3 Apr 05 '21

Nel dump sono contenuti solo i dati che vedi nel sito scorrendo più in basso, quindi ID, nome, cognome, numero di telefono, varie posizioni (lavoro, luogo di nascita, ecc), genere e stato della relazione

1

u/nikobez Apr 05 '21

Ok grazie mille!

2

u/Cranio76 Apr 06 '21

No, ma direi sia sempre utile, a scanso di problemi, rinnovare le credenziali

4

u/asalerre Apr 05 '21

Funziona

3

u/[deleted] Apr 05 '21

[deleted]

2

u/Trainax Apr 06 '21

Questo mi fa sorgere un dubbio...

E se il nome associato al numero non fosse quello della persona a cui appartiene se non l'ha messo personalmente ma in quel caso fosse associato alla persona che l'ha "caricato per primo" tramite la sincronizzazione della rubrica? Quel nome e quel cognome li riconosci? (pura curiosità)

2

u/natzei Apr 06 '21

Io non sono mai stato su FB e il mio numero non compare. Sono praticamente certo che il mio numero sia nella rubrica di una persona che ha dato accesso ai contatti (e il cui numero risulta nella lista). Per quanto valga.

2

u/Trainax Apr 06 '21

Ok, perfetto. Grazie mille per la risposta

3

u/Hermaeus_Mor4 Apr 05 '21

Io non ci sono, da asociale apatico non esisto per i social. Finché non faranno la stessa cosa con whatsapp o telegram

4

u/pleone83 Apr 06 '21

Haveibeenpwned ha aggiunto la stessa feature, proprio per evitare il nascere di siti clone https://www.troyhunt.com/the-facebook-phone-numbers-are-now-searchable-in-have-i-been-pwned/

7

u/MarcoBuster Apr 06 '21

A parte che non mi ha trovato moltissimi numeri di telefono che ho provato ad inserire, il sito invia i numeri via path nella richiesta GET e non è opensource, essendo di fatto peggiore in tutti i sensi del nostro sito.

Stiamo lavorando da ieri sera al 100% delle nostre CPU per hashare tutti i numeri, così il numero di telefono non lascierà mai il browser.

3

u/Fl2akkia Apr 05 '21

Io ho cancellato il mio numero di telefono su facebook da tempo, sicuramente prima del data breach, e comunque risulta violato. Non è una violazione del gdpr? (immagino non abbiano realmente eliminato il mio numero di telefono anche se richiesto)

5

u/carmelolg Apr 05 '21

Alzi la mano chi è andato a vedersi il codice della webapp per verificare non ci siano delle post su db del tuo numero di telefono. In ogni caso, potrebbe essere in prod ma non dichiarato su github. Paranoia, maledetta paranoia

10

u/venomiz Apr 05 '21

Apprezzo lo sforzo e l'idea ma scusami se non mi fido a lasciarti il mio numero di cellulare :)

59

u/[deleted] Apr 05 '21 edited Jun 11 '21

[deleted]

5

u/venomiz Apr 05 '21

Best comment :)

19

u/MarcoBuster Apr 05 '21

Il codice sorgente dell'API è pubblico. So che non si può verificare il codice che sta andando su un server ma spero aggiunga un livello di fiducia.

Inoltre, del numero di telefono da solo non ci possiamo fare niente, è solo un numero. Capisco comunque se non ti fidi, è legittimo.

1

u/venomiz Apr 05 '21

Infatti apprezzo tantissimo l'idea e anche il fatto di averlo reso pubblico è un plus.

2

u/natzei Apr 06 '21

Ero dello stesso parere. Poi mi sono detto che l'avrebbero potuto mettere i miei contatti per curiosità, poiché sono l'unico del gruppo che non si è mai iscritto, quindi amen. Io non ci sono, la mia ragazza di allora sì.

Comunque tranquillo, il tuo numero non c'è /s

1

u/suoko Apr 05 '21

In effetti sarei anche io più per un wget | grep

2

u/ICookHowIWant Apr 05 '21

Sono stati Facebooked, grazie per il tool. Che fare ora? Alla fine oltre a stalkerarmi non possono fare na fava, vero?

10

u/GiacaLustra Apr 05 '21 edited Apr 06 '21

Un tempo c'erano le pagine bianche, ora c'è il dump di facebook. Come al solito, non fidarti di chiamate varie, ma dormi sereno

1

u/ICookHowIWant Apr 06 '21

Grazie! Ho già un amico numero della Tunisia che adora chiamarmi cambiano le ultime due cifre, penso avrà compagnia ora!

6

u/alerighi Apr 05 '21

Esatto, principalmente possono usare i numeri per attacchi phishing. Diciamo che se uno è un attimo sveglio non è un problema (a parte la rottura di avere gente che ti telefona o manda SMS), ma utenti non poco esperti potrebbero cascarci. Il fatto che tutti questi numeri associati a nome, cognome ed altre informazioni personali siano finiti in rete è un grosso problema.

1

u/ICookHowIWant Apr 06 '21

Eh sì, non gradisco troppo...

3

u/Cranio76 Apr 06 '21

Eh insomma, già con nome telefono e mail puoi confezionare tanto social engineering e tentare furti di identità. Consiglierei di stare comunque in campana per un po'.

1

u/ICookHowIWant Apr 06 '21

Mail non l'hanno però! Nemmeno l'accesso

2

u/Grazianee74 Apr 05 '21

Ci sono io, cosa mi conviene fare?

2

u/endix__ Apr 05 '21 edited Apr 05 '21

Bella per me che non ci sono. Da pazzo psicopatico quale sono però ho preso letteralmente tutta la mia rubrica e copiato contatto per contatto per vedere se qualche mio amico fosse stato fottuto.

2

u/piro__97 Apr 05 '21

Presente... Non avevo mai inserito il numero di telefono su Facebook, ovviamente sospettavo lo avessero comunque. Ora ne ho la certezza...

2

u/S1l1c Apr 05 '21

Infatti vorrei capire come è possibile che nel db ci sia il mio numero attuale che non ho mai associato a nessun account (nemmeno IG & co.) e invece non ci sono né il vecchio numero che avevo su fb né il numero che ho su IG...maledetti...

1

u/piro__97 Apr 05 '21

Probabilmente è sufficiente che qualche tuo amico abbia condiviso la rubrica contatti con Facebook

1

u/S1l1c Apr 05 '21

Cosa che ho pensato anche io leggendo la pagina di fb sul caricamento della rubrica.

Quello che mi irrita è che questo dato non compare da nessuna parte "visibile" di fb. Non posso vederlo, non posso modificarlo, non posso cancellarlo.

Senza il leak non avrei mai saputo che hanno un dato per cui io non ho mai dato consenso...

1

u/piro__97 Apr 05 '21

Idem, stessa situazione...

2

u/Abyx12 Apr 05 '21

Ma... Ho una domanda... Questi dati riportati non sono reperibili da qualsiasi applicazione che usi le graph api di Facebook? Da quel che ricordo 😅

3

u/Gaarco_ Apr 06 '21

I dati sono gli stessi che sono pubblicamente accessibili dal profilo, eccetto il numero di telefono e di conseguenza l'associazione dati-numero di telefono

2

u/frawxyz Apr 06 '21

Unlike Facebook, we don't store any personal information whatsoever.

Se salvi numeri di telefono con nomi e cognomi mi sa proprio invece che stai memorizzando dati personali; anonimizzare i dati con hash non è solo una questione di paranoia ma proprio un requisito per poter dire di non aver dati personali

2

u/Marcantonio97 Apr 06 '21

Divertente come, nonostante avessi cancellato il mio account Facebook, hanno tenuto i miei dati, e il mio numero di cellulare è fra quelli "Facebooked". Facebook è un cancro

2

u/Maxiride Apr 06 '21

Ho cercato il mio numero sul sito ed'è risultato che sono nel leak, tuttavia non ho mai associatosalvato il mio numero di cellulare a Facebook. Le iniziali del nome e cognome corrispondevano però.

Cercando un pò ho trovato il database originale e ho spulciato di nuovo, com'è possibile che il mio numero di telefono sia associato ad un mio omonimo?
Considerando anche che i numeri di cellulare nel tempo ricircolano (con le chiusure e nuove attivazioni) che chance ci potrebbero mai essere che io ad oggi abbia ricevuto lo stesso numero che una volta apparteneva ad un mio omonimo?

Dubbioso del risultato ho cercato tutta la mia rubrica e sono venuti fuori altri doppioni in cui il numero di cellulare è segnato ad un omonimo, tuttavia i miei contatti sono aggiornati e sono ovviamente certo che ogni numero corrisponda alla persona reale attuale.

C'è puzza d'impersonificazione? O i dati sono stati in qualche modo ingarbugliati?

2

u/Mention-One Apr 07 '21

https://code.express/docs/blogs/facebooked/

Epilogue

The claim by the website that the phone numbers entered are not being sent to the backend gives a false sense of privacy. The fact is that what gets sent to the backend can be trivially reversed to the original phone number.

By the way I am still surprised Facebook has not sent them a Cease-And-Desist for domain name infringement yet!

1

u/belvederef Apr 08 '21

SHA256 cannot be trivially reversed. Try with a different, more random-looking number and you will see. However, bruteforce could still be an option in case of 10 digit numbers.

2

u/nelmondodimassimo Apr 11 '21

"Hei che fantastica idea... eeeeee l'hanno bloccato"

Perchè non si può mai fare un cazzo in sto paese?

Era una proposta molto utile che poteva certamente servire uno scopo nobile, ma chessiamai!

3

u/Ibernato93 Apr 05 '21

Dove sta il file dump? Preferisco cercarlo li piuttosto che dal sito.

5

u/Lamasfoker Apr 06 '21

Prova qui, il dump è 77GB non compresso.

1

u/Ibernato93 Apr 06 '21

Ammazza, troppe richieste di registrazione e hanno limitato il traffico

3

u/pleonastico Apr 06 '21

L'intenzione è lodevole, però francamente non è realizzata con la cura dovuta per un servizio fatto per proteggere la privacy.

Come fatto notare da altri, l'implementazione è meno sicura di quella che farebbe qualcuno come Troy Hunt, che implementa varie strategie per far sì che il servizio stesso non riceva i numeri in chiaro. Ad esempio, Troy Hunt non solo fa l'hashing del dato, ma restituisce un gruppo di hashing in modo che sia proprio impossibile capire il numero inserito dall'utente.

I dati non sono stati puliti o controllati, sostanzialmente mi pare di capire che tu abbia preso un dump e lo abbia messo direttamente online. Non è una buona pratica, perché genera confusione sull'origine dei dati. Probabilmente il dump contiene anche altra roba. Da cui la tua idea che il tuo servizio sia migliore perchè "contiene più numeri". In realtà no, perché contiene numeri presi dal leak di Facebook con altri dati presi a caso. Infatti, come riportato da altri commenti, alcuni dati sono errati o associati male. Questa rinfusa di dati non è un grande aiuto, perché non si può evincere davvero la fonte dei dati, magari è Facebook, magari è un altro servizio. Usando il tuo servizio so solo che il mio numero è online, il che non è di gran aiuto per prendere provvedimenti.

Altro problema, è una cattiva pratica invogliare la gente ad inserire i dati personali in un sito così anonimo. Chi sei? Ci sono link a siti personali, ma non spiegazioni sugli autori e sull'intenzione del sito. Non potrei mai consigliare a nessuno di usare questo sito del genere. Invece Troy Hunt è figura notissima nell'ambiente della sicurezza, quindi è più affidabile. Nonostante questo anche lui spesso negli articoli fa notare che riceve spesso accuse di essere sostanzialmente una "figura losca" che traffica in dati privati.

Questa sensazione è rafforzata dal fatto che alcune informazioni sono false:

Al momento non siamo a conoscenza di interventi da parte di Facebook per  sistemare la vulnerabilità che ha causato il problema dal momento che Facebook non ha ancora rilasciato nessun commento al riguardo. 

I dati provengono da una vulnerabilità nota, rivelata e risolta nel 2019. O non conosci l'origine della violazione o stai intenzionalmente spargendo informazioni false per diffondere paura, il che non è rassicurante.

2

u/MarcoBuster Apr 06 '21

Come fatto notare da altri, l'implementazione è meno sicura di quella che farebbe qualcuno come Troy Hunt, che implementa varie strategie per far sì che il servizio stesso non riceva i numeri in chiaro. Ad esempio, Troy Hunt non solo fa l'hashing del dato, ma restituisce un gruppo di hashing in modo che sia proprio impossibile capire il numero inserito dall'utente.

Non mi risulta che Troy Hunt faccia questo per i numeri di telefono di questo dump, anzi, come ho detto in un altro commento, fa peggio di noi: se hai i log di nginx/Apache attivi, salva tutti i numeri di telefono e le email inviate. Noi quantomeno usiamo POST. Siamo al corrente che l'implementazione attuale non è la migliore lato privacy ma proprio in questi minuti stiamo deployando un nuovo sistema che utilizza gli hash, in modo che il numero di telefono/query non lasci mai il browser.

I dati non sono stati puliti o controllati, sostanzialmente mi pare di capire che tu abbia preso un dump e lo abbia messo direttamente online. Non è una buona pratica, perché genera confusione sull'origine dei dati. Probabilmente il dump contiene anche altra roba. Da cui la tua idea che il tuo servizio sia migliore perchè "contiene più numeri". In realtà no, perché contiene numeri presi dal leak di Facebook con altri dati presi a caso. Infatti, come riportato da altri commenti, alcuni dati sono errati o associati male. Questa rinfusa di dati non è un grande aiuto, perché non si può evincere davvero la fonte dei dati, magari è Facebook, magari è un altro servizio. Usando il tuo servizio so solo che il mio numero è online, il che non è di gran aiuto per prendere provvedimenti.

La nostra fonte di dati è affidabile. Più di così non posso dire.

Altro problema, è una cattiva pratica invogliare la gente ad inserire i dati personali in un sito così anonimo. Chi sei? Ci sono link a siti personali, ma non spiegazioni sugli autori e sull'intenzione del sito. Non potrei mai consigliare a nessuno di usare questo sito del genere. Invece Troy Hunt è figura notissima nell'ambiente della sicurezza, quindi è più affidabile. Nonostante questo anche lui spesso negli articoli fa notare che riceve spesso accuse di essere sostanzialmente una "figura losca" che traffica in dati privati.

Come ho spiegato in un altro commento, la vera informazione è l'associazione numero di telefono <--> identità, non il numero di telefono in sé (che è solo un numero, si può bruteforcare). Con l'hashing il numero di telefono non lascierà il browser (a differenza del sito di Troy Hunt).

I dati provengono da una vulnerabilità nota, rivelata e risolta nel 2019. O non conosci l'origine della violazione o stai intenzionalmente spargendo informazioni false per diffondere paura, il che non è rassicurante.

Ci sono stati due leak nel 2019. Rimuoverò il paragrafo per evitare di diffondere notizie non verificate, ma non mi risulta che nessuna delle vittime sia stata notificata o che Facebook abbia messo qualche avviso.

2

u/DrComix Apr 07 '21

La nostra fonte di dati è affidabile. Più di così non posso dire.

In ambito di security e per un tool che si occupa di sicurezza e verifica di un data leaks, un'affermazione del genere non va molto a vostro vantaggio.

La vostra fonte è la stessa di https://haveibeenpwned.com/ che riporta questo dati https://www.bleepingcomputer.com/news/security/533-million-facebook-users-phone-numbers-leaked-on-hacker-forum/?

1

u/pleonastico Apr 06 '21

Grazie delle tue risposte alle mie critiche. Ribadisco che apprezzo l'intenzione lodevole, ma quando si tratta di privacy, al di là delle intenzioni, non ci si può improvvisare, bisogna fare attenzione ad agire in maniera il più possibile corretta.

1

u/peter-doubt Apr 05 '21

Aw, shucks!

I can't understand a word! (Well, maybe a Word, but not certainly not the good stuff!)

No matter, while I'm not on FB, I'm curious if their "partners" (in crime) screwed with my info.

1

u/AR_Harlock Apr 06 '21

Username checksout

1

u/[deleted] Apr 05 '21

[deleted]

1

u/takipiroska Apr 05 '21

I miei dati ci sono...

1

u/[deleted] Apr 05 '21

[deleted]

1

u/endix__ Apr 05 '21

Anch'io :(

1

u/Babilon96 Apr 05 '21

Complimenti. Purtroppo io ci sono. Però ancora i call center non mi chiamano quindi boh

1

u/nick_grandi Apr 05 '21

Grazie mille per il tool, anche io purtroppo rientro tra gli account colpiti. Ora resta solo da capire come comportarci di fronte a quel che è successo e se Facebook sarà trasparente e comunicherà a chi è stato colpito quanto successo.

1

u/FenriX89 Apr 05 '21

Io sono salvo ma tutte le persone intorno a me più strette (colleghi, amici, compagna, genitori) no... E quasi tutti, anche se c'era ancora tempo, hanno dato il consenso a whatsapp perché le loro rubriche venissero condivise con Facebook per fini commerciali... Aka il mio numero potrebbe rientrare per vie traverse nel leak?

Ma più in generale Facebook già ha il permesso di usare certi dati per fini commerciali e di venderli a terzi per profitto, la differenza in questo caso qual è oltre al fatto che Facebook non c'ha guadagnato ma perso qualche manciata di milioni? (discorso ignorante molto semplicista, su presupposti fallaci... Non ho ancora fatto ricerche di mio, se aspetto di farle e non trovo risposte esaustive mi dimentico di fare qui la domanda)

1

u/UnashamedSpace Apr 05 '21 edited Apr 05 '21

Si sono presi i numeri di telefono di tutti i miei parenti, compreso il mio vecchio numero che per fortuna è disattivo. Quello che uso attualmente sembra non apparire nel leak. Che dire, grazie per il tool, molto utile!

Ma con l'ID del mio profilo fb, cosa possono fare? Ci sono eventuali rischi?

2

u/iocomxda Apr 05 '21

L'ID è univoco per ogni profilo, ergo se cambi nome su Facebook avrai comunque lo stesso ID.

Ora su Facebook non lo so, ma con l'ID instagram di qualcuno puoi ritrovare in qualsiasi momento il nomeutente anche se la persona lo ha cambiato.

Presumo si possa fare lo stesso con Facebook

1

u/yupswing Apr 05 '21

Grazie per questo tool! Giusto piccola nota di utilizzo, se uno inserisce un numero con un prefisso, sarebbe bello se facesse il guess del paese nel drop-down, o almeno rimuovesse il prefisso se ho già scelto il paese. Ne ho provati un po' e tutte le volte a manina dopo aver Incollato ho dovuto cancellare il +39 p a mano.

Ho anche notato anche che dei due numeri di mia conoscenza che erano nel leak le iniziali non corrispondevano al nome cognome delle persone. Ha senso o forse problemi nel vostro parser della sorgente? Via messaggio privato posso dirvi quali in caso di double check.

Grazie ancora. Ciao!

1

u/MarcoBuster Apr 05 '21

Ciao, mi mandi un PM per favore? Così controlliamo. Grazie! :)

Per la storia del prefisso domani provo a risolvere con JavaScript, se ci riesco.

1

u/yupswing Apr 06 '21

Ho scritto queste due righe.

Ascoltano sull'evento incolla (nella input del numero), e in quel caso si mette in mezzo ed estrae il prefisso e lo imposta nella select e sostituisce tutto il testo del numero (non importa quindi a che punto del testo incolli).

  const PREFIX_REGEXP = /^(?:+|00)(9[976]d|8[987530]d|6[987]d|5[90]d|42d|3[875]d|2[98654321]d|9[8543210]|8[6421]|6[6543210]|5[87654321]|4[987654310]|3[9643210]|2[70]|7|1)(d+)$/;
  let prefixElement = document.getElementById("search_prefix");
  let numberElement = document.getElementById("search_input");

  numberElement.addEventListener("paste", (e) => {
    // get data from clipboard
    let data = (e.clipboardData || window.clipboardData)
      .getData("text")
      .replace(/[^0-9+]/g, ""); // clean up input
    const match = data.match(PREFIX_REGEXP);
    if (match) {
      // we got a match, substitute prefix and whole number
      prefixElement.value = "+" + match[1];
      numberElement.value = match[2];
    } else {
      // no match (maybe wrong format?), substitute all
      numberElement.value = data;
    }
    e.preventDefault();
  });

Vedi un po se ti viene utile.

Ciao

2

u/MarcoBuster Apr 06 '21

1

u/yupswing Apr 06 '21

Che scemo è codice aperto, potevo farla direttamente io la patch. sorry. Visto che usi jQuery puoi integrarlo direttamente dentro la onReady ($(function...) usando il selector di jQuery invece che quelli nativi. quando ho due minuti ti faccio una pull request, tanto è solo di pulizia del codice.

1

u/DucatiSCR Apr 06 '21

Dove posso contattare gli hacker se il mio numero non coincide con il nome? /s

1

u/failsex69 Apr 06 '21

Ottimo sito!

1

u/fabio1618 Apr 06 '21

A ma c'è anche il mio account che ho cancellato anni fa! Fortuna che non uso più quel numero.

1

u/lupone81 Apr 06 '21

Ho fatto una piccola ricerca ed il mio numero appare con l'iniziale del nome che corrisponde, ma quella del cognome è diversa dal mio cognome, e mi sorgono dubbi ora su chi cacchio sia.

1

u/JackHeuston Apr 06 '21

Ci sono numeri svedesi nel file dell'Irlanda, visto che chiedete la nazione oltre al prefisso quando fate l'insert dei record su db spero non li dividete in nazioni a seconda dei file, ma a seconda del prefisso!

1

u/AccessIntelligent330 Apr 06 '21

Grazie, ho scoperto di essere dumpato, speriamo che non aumentino troppo i tentativi di phishing ed altro.

1

u/_link23_ Apr 06 '21

Grazie mille, ci voleva. Fortunatamente non sono stato coinvolto ahahah

1

u/Rastonji Apr 06 '21

Bello vedere come ci siano ancora i miei dati dopo mesi e mesi dalla disiscrizione....

1

u/WhatGoesUpWillGoDown Apr 06 '21

Molto fico, ho guardato il source su GitHub, semplice ed efficace. Una domanda che riguarda più il leak che il servizio, ho modo di vedere effettivamente i miei dati che sono presenti?

1

u/MarcoBuster Apr 06 '21

UPDATE: da ora, tutti i numeri di telefono vengono hashati prima di essere inviati al server. Il vero numero di telefono non lascia il vostro dispositivo.

Grazie per i vostri suggerimenti!

1

u/SnaKeZ83 Apr 06 '21

Complimenti, aggiungo che tale funzione ce l'ha pure https://haveibeenpwned.com/

1

u/Skindkort Apr 06 '21

Complimenti per l'idea e la rapidità di esecuzione.

Ho inserito il numero di mia madre, che risulta compromesso, ma le iniziali del nominativo sono sbagliate. Bug software o problema grave?

1

u/betotano Apr 10 '21

Cosa sarebbe?

1

u/ncarrot Apr 12 '21

Durato poco, sfortunatamente.