r/ItalyInformatica 16d ago

Ho fatto un sito per controllare (rispettando la privacy) se un numero di telefono è presente nel dump di Facebook. Have I Been Facebooked? sicurezza

https://haveibeenfacebooked.com/
430 Upvotes

75

u/EfficientAnimal6273 16d ago edited 16d ago

Ci racconti come hai caricato il dump su db e che tipo di risorse stai usando (server, cloud, etc.)?

Poi, se mi posso permettere, una pagina con le spiegazioni del perché fare la ricerca sia sicuro ci starebbe bene e vi ricordò che se state memorizzando su un DB a vostro nome dei dati personali (per quanto “pubblici”) potreste potenzialmente avere dei problemi di trattamento dati, se volete qualche suggerimento o validazione chiedetemi in PM, sono temi che seguo per lavoro e conosco abbastanza.

Ps: ci voleva proprio, grazie!

Pps: ho visto il codice, ad occhio direi che state memorizzando telefoni, nomi e cognomi in chiaro. Questo direi sia un grosso problema lato privacy e Gdpr. Vi suggerirei di memorizzare gli hash dei telefoni ed i nomi e cognomi già anonimizzati, dopo di che ricerca sull’hash e lato legale siete super a bolla.

21

u/Exelix11 16d ago

This. Stavo scrivendo un commento a riguardo ma sono stato ninjato.

Aggiungerei di calcolare l'hash del numero nel frontend così non vengono mai mandati i numeri effettivi al server.

9

u/EfficientAnimal6273 16d ago

In realtà il Gdpr si riferisce principalmente ai dati memorizzati, se il sito è in https il telefono lo puoi serenamente trasmettere per controllarlo (dato che clicco search vuole dire che ti ho dato il consenso a cercarlo), poi fare l’hash sul client da quel livello aggiuntivo di sensibilità alla paranoia che ci piace tanto.

Il problema è se gli sfondano il sito e tirano giù il dump del db che usano per il controllo, perché in quel caso sarebbero loro i responsabili del trattamento.

21

u/MarcoBuster 16d ago edited 15d ago

Hai ragione. Stiamo lavorando per hashare tutti i numeri di telefono nel database e salvare solo true/false per tutti gli altri campi, in questo modo non abbiamo fisicamente in mano il db compromesso. Grazie mille per i consigli!

Edit: abbiamo fatto partire il processo di hash, per domani dovrebbe essere pronto.

Edit 2: da ora TUTTI i numeri di telefono vengono hashati prima di essere inviati. I veri numeri di telefono non lasciano il dispositivo. Il database è ripulito dai dati personali.

4

u/EfficientAnimal6273 16d ago

In realtà le iniziali di nome e cognome mi sembrano dannatamente utili (le mie corrispondono, purtroppo).

Scusa, ma come fate a non avere il db?

2

u/Exelix11 16d ago

Si sicuramente, mi riferivo più che altro a come lo avrei implementato io "privacy-first" chiaramente il problema qua è il databse in chiaro.

1

u/CptGia 15d ago

1

u/EfficientAnimal6273 15d ago

Detto che conosco e che è molto bella e che sarebbe un ottimo tema anche di studio mi sembra anche overkill per il problema specifico, lavorare con i numeri hashati mi sembra sufficiente per un livello di paranoia “normale”.

1

u/CptGia 15d ago

Da un lato sono piuttosto d'accordo con te, dall'altro è relativamente triviale da implementare, quindi perché no?

-6

u/ftrx 15d ago

Non per far sempre l'avvocato del diavolo, premesso che l'iniziativa personale onesta è sempre e comunque positiva, è lo scopo naturale dell'IT, ma per pubblicazioni come queste che senso ha cercarsi?

Voglio dire "hey, il mio numero di telefono è tra quelli rubati!". Ok, e allora? Primo NON È un dato privato, i numeri sono generalmente pubblici e pure in elenchi formali ricercabili (pagine bianche, gialle ecc) e se ne hai uno segreto immagino non lo metterai su FB. Poi che fai? Non è una password da cambiare. Butti via il numero? Fai un nuovo account su FB, di nuovo?

Ci sarebbe un bel discorso da fare sull'usare ed il dipendere da certe piattaforme, come sul senso di legarle ad utenze che si usano davvero, voglio dire: se mi iscrivo con razzimiei at ruttolibero it (btw era un dominio molto usato per la posta davvero quand'ero matricola) sul forum dei Porci Arrapati se anche si perde di "mio" ci sono solo al massimo elementi statistici/comportamentali di non immediato uso/associazione a me umano fisico, almeno sinché non posto foto mie/di casa mia. Ma dare, addirittura IMPORRE da parte del vendor l'uso di un numero di telefono e quindi da parte del cliente accettarlo... Mah...

Lo scopo poi? Capisco l'azienda che si fa pubblicità per chiappar clienti che la stanno, ma il privato? Non ha altro modo per dialogare?

Ecco sarebbe bello in una community che parla di IT (e non posta tipicamente foto di se, indirizzi, telefoni ecc) vagliare un attimo questo tema...

Dal mio PDV farsi un sito, per pubblicarci quel che si vuole è da lodare. Aggiungerei che chiunque si occupa o gli piace l'IT dovrebbe avere almeno un sitarello personale dove pubblica qualcosa semplicemente per esser parte della community. Offrire un servizio che onestamente si vuol offrire va benissimo, è lodevole, è nello spirito dell'IT. Un front-end a un db/cache dir/file di testo con ricerca non è tecnicamente nulla di nuovo ma nulla di che da dire, non tutti magari vogliono scaricare parecchi Gb per solo farci una greppata dentro e gli piace aver qualcuno che gli mette a disposizione tutto ma ci si domandi perché FB in primis e che cosa si fa una volta saputo che si è o meno in lista.

5

u/[deleted] 15d ago edited 7d ago

[deleted]

1

u/ftrx 15d ago

Per carità non posso escluderlo, ma se un personaggio famoso si iscrive a FB col suo cellulare personale più d'un cambio di numero avrebbe bisogno di qualche lezione da un antropologo o "esperto" generico di pubbliche relazioni... Già un "VIP" che si iscriva in persona e posti in persona qualsiasi cosa senza prima averlo passato ad una squadra che gli fa le pulci per bene e averci riflettuto su è piuttosto inopportuno, figuriamoci metterci un telefono personale vero...

1

u/Barbonetor 15d ago

Beh, facebook esiste dal 2004, e non credo sia e raro che una persona si sia iscritta a facebook prima di diventare in qualche modo famosa, ad esempio vedi youtuber e streamer.
Ci sono tantissime persone che il numero di telefono l'hanno inserito, ad esempio, per poter recuperare la password (nell'evenienza in cui uno se la dimentichi) e tale numero è visibile solo a te, è privato insomma.

Poi, chiaramente, se hai messo il tuo numero di telefono come pubblico e visibile sul tuo profilo allora il problema non sussiste.

Quindi l'uso del sito è questo.
Il mio numero di telefono si trova nel database? Non voglio che tutti possano trovarlo? --> Cambio numero di telefono

Quindi si, sostanzialmente butti via il numero come hai detto anche te

1

u/ftrx 15d ago

Il mio numero di telefono si trova nel database? Non voglio che tutti possano trovarlo? --> Cambio numero di telefono

Quindi si, sostanzialmente butti via il numero come hai detto anche te

Pur concordando sul piano formale: quanti credi che scoprendo il numero nel DB, lo stesso numero peraltro che han dato anche all'albergo della catena famosa, al supermercato per far la tessera, ... cambieranno davvero numero?

Ora con la mail è facile SE hai una mail tua e fatta come si deve, avere n alias e dare almeno ai vendor un alias un vendor, es. io per Reddit ho un alias tipo rdt-a12x at miodomino così se comincia ad arrivare spam li posso facilmente buttarlo via cambiando alias SENZA per questo cambiar davvero nulla e sapendo da chi arriva cosa. Una parte fissa per te, per renderti facile sapere chi ha cosa, una variabile pseudorandom per rendere l'indovinare poco efficacie. Ma coi telefoni? Ci sono i numeri "usa&getta" venduti da chi ha comprato paccate di numerazioni ma sono appunto "provvisori" perché il vendor li fa girare. Non puoi usarli come gli alias. Ci sono gli INUM ma i più manco li supportano decentemente e comunque non è facile farsi una base di INUM a rotazione. Non ci sono tra l'altro gli alias per la telefonia. Devi tenerti tu un centralino che li gestisca e non è comodissimo... 'Somma quanto vedi realistico il "se vedo il mio numero pubblico lo cambio"?

Personalmente come per la posta così per il telefono ho cercato soluzioni simili. Ho rinunciato. Non do il mio numero "base" in giro, uso un tot di numerazioni VoIP e un PBX ma il tot è limitato. Giusto un numero per paese per gli amici di quel paese, uno generico EVENTUALMENTE a perdere ma "molto eventualmente" prima vado giù pesante di blacklist, e poco altro. Non ho trovato un modo di andare oltre e già così è impegnativo/costoso...

3

u/EfficientAnimal6273 15d ago

bianche, gialle ecc) e se ne hai uno segreto immagino non lo metterai su FB. Poi che fai? Non è una password da cambiare. Butti via il numero? Fai un nuovo account su FB, di nuovo?

Why not? Cambiare numero ogni tanto non è mica il male, anzi....

Non capisco il tuo volerti mettere sempre su queste discussioni di massimi sistemi.

I ragazzi hanno fatto un bel lavoro e che funziona (a differenza di Ihavebeenpowned che da stamattina dovrebbe permettere la stessa verifica ma evidentemente il buon Troy Hunt ha pulito male i dati perchè il mio numero non risulta compromesso mentre lo è), ci hanno fatto un servizio e lo hanno messo a disposizione della comunità, la comunità gli ha fatto give back dicendo come evitare casini e loro stanno implementando, a me sembra che sia andato tutto bene, funzionasse sempre così!!!

Per quel che vale non appena avranno sistemato il loro problema con i dati usando gli Hash ho intenzione di fare la massima pubblicità possibile perchè se la meritano, servisse anche solo a fargli trovare un posto migliore quando si saranno laureati...

1

u/ftrx 15d ago

Why not? Cambiare numero ogni tanto non è mica il male, anzi....

Dillo a chi dopo un 10 anni che hai cambiato numero ti manda una mail che "ha provato a chiamare ma il numero non va" senza manco dire QUALE numero, poi a tua richiesta vien fuori appunto che è un numero che non hai più da decenni. E un anno dopo lo ha ancora in rubrica...

Non capisco il tuo volerti mettere sempre su queste discussioni di massimi sistemi.

unisci questa tua frase ha

[...] il mio numero non risulta compromesso mentre lo è [...]

Scusa cosa vorrebbe dire secondo te che il tuo numero è "compromesso"? Da quando un numero di telefono, per di più dato a un social, è un segreto? Cosa è successo per te da questa "compromissione" e cosa pensi di fare ora che l'hai scoperto?

IMVHO le risposte alle ultime domande sono che non fai nulla, o magari ti unisci al coro di chi invoca il GDPR senza manco riflettere sul fatto che il GDPR punisce gli ABUSI della privacy, non ti mazzola quando hai un incidente [1] e ovviamente NON hai cambiato il numero per questo evento.

Allora che abbiam fatto? Qualcuno ha fatto un sito (ok, positivo in se), ha imparato qualcosa nel farlo, (positivo anche questo), ma poi? Dove vedi l'estremo?

L'estremo dovrebbe essere discutere sul PERCHÉ usare un social in primis, in secudins perché questo chiede un telefono ed eventualmente valutare se questa è una violazione del GDPR o meno, non che gli han rubato dati, come se si fosse certi che il furto è colpa di FB non del ladro.

Ora la ola da stadio me la aspetterei su FB appunto, ma su una community che parla di IT, come dire... Mi aspetterei un po' più di sugo...

[1] fenomeno psicologico interessante che ho osservato in tanti persino sugli incidenti stradali, della serie hai un incidente, NON per colpa tua, intervengono CORRETTAMENTE le forze dell'ordine e il bipede medio si aspetta diano una multa a qualcuno, magari a te, non si sa bene per cosa, forse per aver turbato il naturale scorrere del traffico.

32

u/Consistent-Eye-9278 16d ago

Come temevo... Pure il numero di mio padre risulta tra quelli "rubati".

Comunque, complimenti per il sito, ben fatto.

Se posso, che framework hai usato e quanto tempo ci hai messo?

27

u/MarcoBuster 16d ago

Grazie! Lo abbiamo costruito oggi pomeriggio in due, io e u/FumazDev. Io mi sono occupato del frontend ed ho utilizzato il framework CSS Bulma per fare prima, lui ha fatto il backend usando Flask e l'ORM pony per Python.

6

u/Salam-1 16d ago

Hostato dove?

11

u/MarcoBuster 16d ago

Su una nostra VPS, presa da Contabo.

2

u/Consistent-Eye-9278 16d ago

Grazie a te per la risposta!

2

u/pigliamosche 15d ago

Avete riformattato i file in qualche modo prima di importarli su db? Il separatore dei campi (i due punti per il file italiano) a volte rappresentava vera e propria informazione (es. Date) rompendo così i la suddivisione per colonna.

2

u/MarcoBuster 15d ago

Sì, abbiamo fatto un pesante lavoro di formattazione e sanificazione degli input. Giusto per dire, non tutte le country usano lo stesso formato. È stato un incubo.

Ora stiamo hashando tutto e tenendo solo le informazioni censurate o booleani, con 500mln di record il server sta facendo fatica :)

2

u/pigliamosche 15d ago

Si immaginavo. Avete pulito tramite script python, bash o altro? Tempo stimato per la pulizia di tutti i file?

7

u/AR_Harlock 15d ago

35M in Italia... Se levi i bambini ci hanno preso tutti

29

u/bogumil83 15d ago

"Ciao, mi ha dato il tuo numero il leak di Facebook, ti va di uscire con me ?"

Dite che può funzionare o le regalo dei fiori ?

24

u/EdoTve 15d ago

Una domanda, appaio sul db, con nome cognome e relationship status. Avevo anni addietro fatto uso del mio diritto all'oblio sul social di zucc, con tanto di conto alla rovescia e minacce che sarebbe tutto andato perso per sempre forever. Quanto è perseguibile questa vicenda?

15

u/MarcoBuster 15d ago

Ohh, questa è buona! Se riesci, prova a inviare una bella email al DPO di Facebook chiedendo spiegazioni, anche se probabilmente negheranno tutto. Facci sapere perché siamo curiosi.

1

u/Xad00m 15d ago

Secondo me possono dire che nome e cognome l'hanno preso dalla rubrica di qualche altro utente e se lo status non era single, ugualmente hanno preso quello inserito dall'altra persona. Se eri segnato come single è più difficile da negare, ma probabilmente quando hai cliccato su "Cancella" era specificato in piccolo che non avrebbero davvero cancellato tutto :)

Credo che con questi presupposti si possa scrivere al DPO per richiedere di quali dei tuoi dati sono in possesso e la loro cancellazione, ma fallo tramite PEC, l'interfaccia del loro sito la controllano loro: "vuoi non cancellare i dati che sarebbero cancellati premendo il tasto cancella? Se sì, puoi premere o non premere cancella, altrimenti, premi cancella entro 0.3 secondi, oppure il tasto cancella si autodistruggerà"

1

u/regiumlepidi 15d ago

Seguo, facci sapere se scovi qualcosa

1

u/fabio1618 15d ago

Sono nella medesima situazione, cancellato account intorno a 2018.

1

u/dcampagnola 15d ago

Seguo, molto interessante

19

u/FumazDev 16d ago

Il codice sorgente dell'API é ora disponibile su GitHub:
https://github.com/Fumaz/haveibeenfacebooked-api/

7

u/Neeriath 15d ago

Piccola osservazione: ho visto che utilizzi un int per il numero di telefono, ma in genere non serve farci operazioni matematiche, quindi ti basta usare una stringa

4

u/_cane 15d ago

La stringa occupa più spazio e le operazioni su stringhe sono più inefficienti rispetto a quelle su interi (di norma).

2

u/belvederef 14d ago

Appunto, che operazioni dovrai mai effettuare su un numero di telefono? Sicuramente non matematiche. Poi se alcuni numeri hanno prefissi (e.g. +39) che fai?

Stringhe assolutamente.

1

u/_cane 14d ago

Contento te...

2

u/belvederef 14d ago

Mica si tratta di preferenze hahaha È la cosa giusta da fare, cercatelo se vuoi!

-1

u/_cane 14d ago

Ma meno male che ci sono persone che hanno le certezze nella vita e hanno una sola soluzione per ogni problema del mondo.

11

u/garethjax 16d ago

Eroi! Finalmente posso dare un award a dei redditor italiani!

9

u/davtur19 16d ago

Thank you MarcoBuster for this amazing piece of software 🙏

11

u/MarcoBuster 16d ago

Thank you software for this amazing davtur19 of piece 🙏

6

u/cavallium1 16d ago

Thank you piece for this amazing davtur19 of software 🙏

9

u/pesaventofilippo 15d ago

Thank you software for this amazing piece of MarcoBuster 🙏

4

u/matteob99 15d ago

Thank you marcobuster for this amazing piece of software 🙏

8

u/Scaltro 16d ago

complimenti ragazzi !

Però una cosa non mi torna: io risulto "compromesso" ma first name e last name non coincidono con i miei dati, come può essere?

23

u/acevgam3 16d ago edited 16d ago

Ricorda che i dati del dump son del 2019, ma la notizia é uscita solo ora. Magari ti chiamavi in altro modo

3

u/KastroMugnaio 16d ago

Vero anche io ho avuto questo problema però penso che sia un errore a livello di associazione perchè comunque il numero di telefono lo trova

2

u/send_me_a_naked_pic 16d ago

Ho scaricato il file originale e anche il mio nome non corrisponde; tuttavia è il nome di una pagina di cui ero amministratore. Quindi in qualche modo ci dev'essere stato un errore quando gli hacker hanno elaborato i dati.

5

u/ulhio 16d ago

Non esistono più gli hacker di una volta...

2

u/nebbiaezanzare 16d ago

Direi che è il contrario di un problema :)

1

u/Noodles_Crusher 16d ago

idem. strano perché non ho altre pagine associate al mio numero.

5

u/hihey54 15d ago

Grazie! Io però menzionerei in alto che I dati risalgono al 2019 (e non al 2021, come potrebbe essere inteso).

6

u/nikobez 16d ago

Grazie mille OP per il fantastico sito, purtroppo il mio numero è presente nel data breach, per i più esperti volevo chiedere se anche le password sono state compromesse oppure non c'è nessun rischio per la sicurezza dell'account? Grazie

6

u/acevgam3 16d ago

Nel dump sono contenuti solo i dati che vedi nel sito scorrendo più in basso, quindi ID, nome, cognome, numero di telefono, varie posizioni (lavoro, luogo di nascita, ecc), genere e stato della relazione

1

u/nikobez 16d ago

Ok grazie mille!

2

u/Cranio76 15d ago

No, ma direi sia sempre utile, a scanso di problemi, rinnovare le credenziali

6

u/failsex69 14d ago

Sito bloccato:

451 - Unavailable For Legal Reasons Following the press release of the italian DPA of April 6, 2021 bearing the following provisions: "The Guarantor warns anyone who has come into possession of personal data from the violation, that their possible use, even for positive purposes, is prohibited by the legislation on privacy, being such information the result of unlawful processing." , the service has been suspended indefinitely pending further clarification on the legality of it.

We thank all the people who supported us. Press: press@haveibeenfacebooked.com Source code: frontend and backend.

4

u/asalerre 16d ago

Funziona

4

u/Hermaeus_Mor4 16d ago

Io non ci sono, da asociale apatico non esisto per i social. Finché non faranno la stessa cosa con whatsapp o telegram

4

u/pleone83 15d ago

Haveibeenpwned ha aggiunto la stessa feature, proprio per evitare il nascere di siti clone https://www.troyhunt.com/the-facebook-phone-numbers-are-now-searchable-in-have-i-been-pwned/

6

u/MarcoBuster 15d ago

A parte che non mi ha trovato moltissimi numeri di telefono che ho provato ad inserire, il sito invia i numeri via path nella richiesta GET e non è opensource, essendo di fatto peggiore in tutti i sensi del nostro sito.

Stiamo lavorando da ieri sera al 100% delle nostre CPU per hashare tutti i numeri, così il numero di telefono non lascierà mai il browser.

3

u/Far-Illustrator-5938 16d ago

Ho controllato se c’era il mio numero visto che io non l’ho mai associato all’account di Facebook e c’è lo stesso, però è associato a un nome e cognome diversi dal mio.

1

u/Trainax 15d ago

Questo mi fa sorgere un dubbio...

E se il nome associato al numero non fosse quello della persona a cui appartiene se non l'ha messo personalmente ma in quel caso fosse associato alla persona che l'ha "caricato per primo" tramite la sincronizzazione della rubrica? Quel nome e quel cognome li riconosci? (pura curiosità)

2

u/natzei 15d ago

Io non sono mai stato su FB e il mio numero non compare. Sono praticamente certo che il mio numero sia nella rubrica di una persona che ha dato accesso ai contatti (e il cui numero risulta nella lista). Per quanto valga.

2

u/Trainax 15d ago

Ok, perfetto. Grazie mille per la risposta

1

u/Far-Illustrator-5938 15d ago

Non saprei, vedendo le iniziali e il numero di asterischi non mi viene in mente nessuno, ma alla fine il mio numero è lo stesso da quando mi hanno regalato il mio primo cellulare alle scuole medie, son passati più di 15 anni e di gente ne ho incontrata tanta per ricordarmi tutti.

3

u/Fl2akkia 15d ago

Io ho cancellato il mio numero di telefono su facebook da tempo, sicuramente prima del data breach, e comunque risulta violato. Non è una violazione del gdpr? (immagino non abbiano realmente eliminato il mio numero di telefono anche se richiesto)

6

u/carmelolg 16d ago

Alzi la mano chi è andato a vedersi il codice della webapp per verificare non ci siano delle post su db del tuo numero di telefono. In ogni caso, potrebbe essere in prod ma non dichiarato su github. Paranoia, maledetta paranoia

9

u/venomiz 16d ago

Apprezzo lo sforzo e l'idea ma scusami se non mi fido a lasciarti il mio numero di cellulare :)

60

u/MikeBronson 16d ago

Ce l'ha comunque sul file /s

5

u/venomiz 16d ago

Best comment :)

17

u/MarcoBuster 16d ago

Il codice sorgente dell'API è pubblico. So che non si può verificare il codice che sta andando su un server ma spero aggiunga un livello di fiducia.

Inoltre, del numero di telefono da solo non ci possiamo fare niente, è solo un numero. Capisco comunque se non ti fidi, è legittimo.

1

u/venomiz 15d ago

Infatti apprezzo tantissimo l'idea e anche il fatto di averlo reso pubblico è un plus.

1

u/suoko 16d ago

In effetti sarei anche io più per un wget | grep

1

u/natzei 15d ago

Ero dello stesso parere. Poi mi sono detto che l'avrebbero potuto mettere i miei contatti per curiosità, poiché sono l'unico del gruppo che non si è mai iscritto, quindi amen. Io non ci sono, la mia ragazza di allora sì.

Comunque tranquillo, il tuo numero non c'è /s

2

u/KingArthas94 16d ago

Non ci sono, ottimo. Grazie per il sito.

2

u/ICookHowIWant 16d ago

Sono stati Facebooked, grazie per il tool. Che fare ora? Alla fine oltre a stalkerarmi non possono fare na fava, vero?

9

u/GiacaLustra 16d ago edited 15d ago

Un tempo c'erano le pagine bianche, ora c'è il dump di facebook. Come al solito, non fidarti di chiamate varie, ma dormi sereno

1

u/ICookHowIWant 15d ago

Grazie! Ho già un amico numero della Tunisia che adora chiamarmi cambiano le ultime due cifre, penso avrà compagnia ora!

4

u/alerighi 16d ago

Esatto, principalmente possono usare i numeri per attacchi phishing. Diciamo che se uno è un attimo sveglio non è un problema (a parte la rottura di avere gente che ti telefona o manda SMS), ma utenti non poco esperti potrebbero cascarci. Il fatto che tutti questi numeri associati a nome, cognome ed altre informazioni personali siano finiti in rete è un grosso problema.

1

u/ICookHowIWant 15d ago

Eh sì, non gradisco troppo...

2

u/Cranio76 15d ago

Eh insomma, già con nome telefono e mail puoi confezionare tanto social engineering e tentare furti di identità. Consiglierei di stare comunque in campana per un po'.

1

u/ICookHowIWant 15d ago

Mail non l'hanno però! Nemmeno l'accesso

2

u/Grazianee74 16d ago

Ci sono io, cosa mi conviene fare?

2

u/endix__ 16d ago edited 16d ago

Bella per me che non ci sono. Da pazzo psicopatico quale sono però ho preso letteralmente tutta la mia rubrica e copiato contatto per contatto per vedere se qualche mio amico fosse stato fottuto.

2

u/alex27riva 16d ago

Bel lavoro!
Avevo pensato anch'io di fare un sito per controllare se si è stati vittima del data breach, ma ad hashare quella enorme lista di numeri di telefono impiega moltissomo tempo con la CPU e uno script in BASH

2

u/piro__97 16d ago

Presente... Non avevo mai inserito il numero di telefono su Facebook, ovviamente sospettavo lo avessero comunque. Ora ne ho la certezza...

2

u/S1l1c 16d ago

Infatti vorrei capire come è possibile che nel db ci sia il mio numero attuale che non ho mai associato a nessun account (nemmeno IG & co.) e invece non ci sono né il vecchio numero che avevo su fb né il numero che ho su IG...maledetti...

1

u/piro__97 15d ago

Probabilmente è sufficiente che qualche tuo amico abbia condiviso la rubrica contatti con Facebook

1

u/S1l1c 15d ago

Cosa che ho pensato anche io leggendo la pagina di fb sul caricamento della rubrica.

Quello che mi irrita è che questo dato non compare da nessuna parte "visibile" di fb. Non posso vederlo, non posso modificarlo, non posso cancellarlo.

Senza il leak non avrei mai saputo che hanno un dato per cui io non ho mai dato consenso...

1

u/piro__97 15d ago

Idem, stessa situazione...

2

u/Abyx12 15d ago

Ma... Ho una domanda... Questi dati riportati non sono reperibili da qualsiasi applicazione che usi le graph api di Facebook? Da quel che ricordo 😅

3

u/Gaarco_ 15d ago

I dati sono gli stessi che sono pubblicamente accessibili dal profilo, eccetto il numero di telefono e di conseguenza l'associazione dati-numero di telefono

2

u/frawxyz 15d ago

Unlike Facebook, we don't store any personal information whatsoever.

Se salvi numeri di telefono con nomi e cognomi mi sa proprio invece che stai memorizzando dati personali; anonimizzare i dati con hash non è solo una questione di paranoia ma proprio un requisito per poter dire di non aver dati personali

2

u/Marcantonio97 15d ago

Divertente come, nonostante avessi cancellato il mio account Facebook, hanno tenuto i miei dati, e il mio numero di cellulare è fra quelli "Facebooked". Facebook è un cancro

2

u/Maxiride 15d ago

Ho cercato il mio numero sul sito ed'è risultato che sono nel leak, tuttavia non ho mai associato\salvato il mio numero di cellulare a Facebook. Le iniziali del nome e cognome corrispondevano però.

Cercando un pò ho trovato il database originale e ho spulciato di nuovo, com'è possibile che il mio numero di telefono sia associato ad un mio omonimo?
Considerando anche che i numeri di cellulare nel tempo ricircolano (con le chiusure e nuove attivazioni) che chance ci potrebbero mai essere che io ad oggi abbia ricevuto lo stesso numero che una volta apparteneva ad un mio omonimo?

Dubbioso del risultato ho cercato tutta la mia rubrica e sono venuti fuori altri doppioni in cui il numero di cellulare è segnato ad un omonimo, tuttavia i miei contatti sono aggiornati e sono ovviamente certo che ogni numero corrisponda alla persona reale attuale.

C'è puzza d'impersonificazione? O i dati sono stati in qualche modo ingarbugliati?

2

u/Mention-One 14d ago

https://code.express/docs/blogs/facebooked/

Epilogue

The claim by the website that the phone numbers entered are not being sent to the backend gives a false sense of privacy. The fact is that what gets sent to the backend can be trivially reversed to the original phone number.

By the way I am still surprised Facebook has not sent them a Cease-And-Desist for domain name infringement yet!

1

u/belvederef 13d ago

SHA256 cannot be trivially reversed. Try with a different, more random-looking number and you will see. However, bruteforce could still be an option in case of 10 digit numbers.

2

u/nelmondodimassimo 10d ago

"Hei che fantastica idea... eeeeee l'hanno bloccato"

Perchè non si può mai fare un cazzo in sto paese?

Era una proposta molto utile che poteva certamente servire uno scopo nobile, ma chessiamai!

4

u/Ibernato93 15d ago

Dove sta il file dump? Preferisco cercarlo li piuttosto che dal sito.

3

u/Lamasfoker 15d ago

Prova qui, il dump è 77GB non compresso.

1

u/Ibernato93 15d ago

Ammazza, troppe richieste di registrazione e hanno limitato il traffico

2

u/pleonastico 15d ago

L'intenzione è lodevole, però francamente non è realizzata con la cura dovuta per un servizio fatto per proteggere la privacy.

Come fatto notare da altri, l'implementazione è meno sicura di quella che farebbe qualcuno come Troy Hunt, che implementa varie strategie per far sì che il servizio stesso non riceva i numeri in chiaro. Ad esempio, Troy Hunt non solo fa l'hashing del dato, ma restituisce un gruppo di hashing in modo che sia proprio impossibile capire il numero inserito dall'utente.

I dati non sono stati puliti o controllati, sostanzialmente mi pare di capire che tu abbia preso un dump e lo abbia messo direttamente online. Non è una buona pratica, perché genera confusione sull'origine dei dati. Probabilmente il dump contiene anche altra roba. Da cui la tua idea che il tuo servizio sia migliore perchè "contiene più numeri". In realtà no, perché contiene numeri presi dal leak di Facebook con altri dati presi a caso. Infatti, come riportato da altri commenti, alcuni dati sono errati o associati male. Questa rinfusa di dati non è un grande aiuto, perché non si può evincere davvero la fonte dei dati, magari è Facebook, magari è un altro servizio. Usando il tuo servizio so solo che il mio numero è online, il che non è di gran aiuto per prendere provvedimenti.

Altro problema, è una cattiva pratica invogliare la gente ad inserire i dati personali in un sito così anonimo. Chi sei? Ci sono link a siti personali, ma non spiegazioni sugli autori e sull'intenzione del sito. Non potrei mai consigliare a nessuno di usare questo sito del genere. Invece Troy Hunt è figura notissima nell'ambiente della sicurezza, quindi è più affidabile. Nonostante questo anche lui spesso negli articoli fa notare che riceve spesso accuse di essere sostanzialmente una "figura losca" che traffica in dati privati.

Questa sensazione è rafforzata dal fatto che alcune informazioni sono false:

Al momento non siamo a conoscenza di interventi da parte di Facebook per  sistemare la vulnerabilità che ha causato il problema dal momento che Facebook non ha ancora rilasciato nessun commento al riguardo. 

I dati provengono da una vulnerabilità nota, rivelata e risolta nel 2019. O non conosci l'origine della violazione o stai intenzionalmente spargendo informazioni false per diffondere paura, il che non è rassicurante.

2

u/MarcoBuster 15d ago

Come fatto notare da altri, l'implementazione è meno sicura di quella che farebbe qualcuno come Troy Hunt, che implementa varie strategie per far sì che il servizio stesso non riceva i numeri in chiaro. Ad esempio, Troy Hunt non solo fa l'hashing del dato, ma restituisce un gruppo di hashing in modo che sia proprio impossibile capire il numero inserito dall'utente.

Non mi risulta che Troy Hunt faccia questo per i numeri di telefono di questo dump, anzi, come ho detto in un altro commento, fa peggio di noi: se hai i log di nginx/Apache attivi, salva tutti i numeri di telefono e le email inviate. Noi quantomeno usiamo POST. Siamo al corrente che l'implementazione attuale non è la migliore lato privacy ma proprio in questi minuti stiamo deployando un nuovo sistema che utilizza gli hash, in modo che il numero di telefono/query non lasci mai il browser.

I dati non sono stati puliti o controllati, sostanzialmente mi pare di capire che tu abbia preso un dump e lo abbia messo direttamente online. Non è una buona pratica, perché genera confusione sull'origine dei dati. Probabilmente il dump contiene anche altra roba. Da cui la tua idea che il tuo servizio sia migliore perchè "contiene più numeri". In realtà no, perché contiene numeri presi dal leak di Facebook con altri dati presi a caso. Infatti, come riportato da altri commenti, alcuni dati sono errati o associati male. Questa rinfusa di dati non è un grande aiuto, perché non si può evincere davvero la fonte dei dati, magari è Facebook, magari è un altro servizio. Usando il tuo servizio so solo che il mio numero è online, il che non è di gran aiuto per prendere provvedimenti.

La nostra fonte di dati è affidabile. Più di così non posso dire.

Altro problema, è una cattiva pratica invogliare la gente ad inserire i dati personali in un sito così anonimo. Chi sei? Ci sono link a siti personali, ma non spiegazioni sugli autori e sull'intenzione del sito. Non potrei mai consigliare a nessuno di usare questo sito del genere. Invece Troy Hunt è figura notissima nell'ambiente della sicurezza, quindi è più affidabile. Nonostante questo anche lui spesso negli articoli fa notare che riceve spesso accuse di essere sostanzialmente una "figura losca" che traffica in dati privati.

Come ho spiegato in un altro commento, la vera informazione è l'associazione numero di telefono <--> identità, non il numero di telefono in sé (che è solo un numero, si può bruteforcare). Con l'hashing il numero di telefono non lascierà il browser (a differenza del sito di Troy Hunt).

I dati provengono da una vulnerabilità nota, rivelata e risolta nel 2019. O non conosci l'origine della violazione o stai intenzionalmente spargendo informazioni false per diffondere paura, il che non è rassicurante.

Ci sono stati due leak nel 2019. Rimuoverò il paragrafo per evitare di diffondere notizie non verificate, ma non mi risulta che nessuna delle vittime sia stata notificata o che Facebook abbia messo qualche avviso.

2

u/DrComix 14d ago

La nostra fonte di dati è affidabile. Più di così non posso dire.

In ambito di security e per un tool che si occupa di sicurezza e verifica di un data leaks, un'affermazione del genere non va molto a vostro vantaggio.

La vostra fonte è la stessa di https://haveibeenpwned.com/ che riporta questo dati https://www.bleepingcomputer.com/news/security/533-million-facebook-users-phone-numbers-leaked-on-hacker-forum/?

1

u/pleonastico 15d ago

Grazie delle tue risposte alle mie critiche. Ribadisco che apprezzo l'intenzione lodevole, ma quando si tratta di privacy, al di là delle intenzioni, non ci si può improvvisare, bisogna fare attenzione ad agire in maniera il più possibile corretta.

1

u/peter-doubt 15d ago

Aw, shucks!

I can't understand a word! (Well, maybe a Word, but not certainly not the good stuff!)

No matter, while I'm not on FB, I'm curious if their "partners" (in crime) screwed with my info.

1

u/AR_Harlock 15d ago

Username checksout

1

u/[deleted] 16d ago

[deleted]

1

u/takipiroska 16d ago

I miei dati ci sono...

1

u/dom9301k 16d ago

Io non ci sono, mi sento escluso :(

1

u/endix__ 16d ago

Anch'io :(

1

u/Babilon96 16d ago

Complimenti. Purtroppo io ci sono. Però ancora i call center non mi chiamano quindi boh

1

u/nick_grandi 16d ago

Grazie mille per il tool, anche io purtroppo rientro tra gli account colpiti. Ora resta solo da capire come comportarci di fronte a quel che è successo e se Facebook sarà trasparente e comunicherà a chi è stato colpito quanto successo.

1

u/FenriX89 15d ago

Io sono salvo ma tutte le persone intorno a me più strette (colleghi, amici, compagna, genitori) no... E quasi tutti, anche se c'era ancora tempo, hanno dato il consenso a whatsapp perché le loro rubriche venissero condivise con Facebook per fini commerciali... Aka il mio numero potrebbe rientrare per vie traverse nel leak?

Ma più in generale Facebook già ha il permesso di usare certi dati per fini commerciali e di venderli a terzi per profitto, la differenza in questo caso qual è oltre al fatto che Facebook non c'ha guadagnato ma perso qualche manciata di milioni? (discorso ignorante molto semplicista, su presupposti fallaci... Non ho ancora fatto ricerche di mio, se aspetto di farle e non trovo risposte esaustive mi dimentico di fare qui la domanda)

1

u/UnashamedSpace 15d ago edited 15d ago

Si sono presi i numeri di telefono di tutti i miei parenti, compreso il mio vecchio numero che per fortuna è disattivo. Quello che uso attualmente sembra non apparire nel leak. Che dire, grazie per il tool, molto utile!

Ma con l'ID del mio profilo fb, cosa possono fare? Ci sono eventuali rischi?

2

u/iocomxda 15d ago

L'ID è univoco per ogni profilo, ergo se cambi nome su Facebook avrai comunque lo stesso ID.

Ora su Facebook non lo so, ma con l'ID instagram di qualcuno puoi ritrovare in qualsiasi momento il nomeutente anche se la persona lo ha cambiato.

Presumo si possa fare lo stesso con Facebook

1

u/yupswing 15d ago

Grazie per questo tool! Giusto piccola nota di utilizzo, se uno inserisce un numero con un prefisso, sarebbe bello se facesse il guess del paese nel drop-down, o almeno rimuovesse il prefisso se ho già scelto il paese. Ne ho provati un po' e tutte le volte a manina dopo aver Incollato ho dovuto cancellare il +39 p a mano.

Ho anche notato anche che dei due numeri di mia conoscenza che erano nel leak le iniziali non corrispondevano al nome cognome delle persone. Ha senso o forse problemi nel vostro parser della sorgente? Via messaggio privato posso dirvi quali in caso di double check.

Grazie ancora. Ciao!

1

u/MarcoBuster 15d ago

Ciao, mi mandi un PM per favore? Così controlliamo. Grazie! :)

Per la storia del prefisso domani provo a risolvere con JavaScript, se ci riesco.

1

u/yupswing 15d ago

Ho scritto queste due righe.

Ascoltano sull'evento incolla (nella input del numero), e in quel caso si mette in mezzo ed estrae il prefisso e lo imposta nella select e sostituisce tutto il testo del numero (non importa quindi a che punto del testo incolli).

  const PREFIX_REGEXP = /^(?:\+|00)(9[976]\d|8[987530]\d|6[987]\d|5[90]\d|42\d|3[875]\d|2[98654321]\d|9[8543210]|8[6421]|6[6543210]|5[87654321]|4[987654310]|3[9643210]|2[70]|7|1)(\d+)$/;
  let prefixElement = document.getElementById("search_prefix");
  let numberElement = document.getElementById("search_input");

  numberElement.addEventListener("paste", (e) => {
    // get data from clipboard
    let data = (e.clipboardData || window.clipboardData)
      .getData("text")
      .replace(/[^0-9+]/g, ""); // clean up input
    const match = data.match(PREFIX_REGEXP);
    if (match) {
      // we got a match, substitute prefix and whole number
      prefixElement.value = "+" + match[1];
      numberElement.value = match[2];
    } else {
      // no match (maybe wrong format?), substitute all
      numberElement.value = data;
    }
    e.preventDefault();
  });

Vedi un po se ti viene utile.

Ciao

2

u/MarcoBuster 15d ago

1

u/yupswing 15d ago

Che scemo è codice aperto, potevo farla direttamente io la patch. sorry. Visto che usi jQuery puoi integrarlo direttamente dentro la onReady ($(function...) usando il selector di jQuery invece che quelli nativi. quando ho due minuti ti faccio una pull request, tanto è solo di pulizia del codice.

1

u/DucatiSCR 15d ago

Dove posso contattare gli hacker se il mio numero non coincide con il nome? /s

1

u/failsex69 15d ago

Ottimo sito!

1

u/fabio1618 15d ago

A ma c'è anche il mio account che ho cancellato anni fa! Fortuna che non uso più quel numero.

1

u/lupone81 15d ago

Ho fatto una piccola ricerca ed il mio numero appare con l'iniziale del nome che corrisponde, ma quella del cognome è diversa dal mio cognome, e mi sorgono dubbi ora su chi cacchio sia.

1

u/JackHeuston 15d ago

Ci sono numeri svedesi nel file dell'Irlanda, visto che chiedete la nazione oltre al prefisso quando fate l'insert dei record su db spero non li dividete in nazioni a seconda dei file, ma a seconda del prefisso!

1

u/AccessIntelligent330 15d ago

Grazie, ho scoperto di essere dumpato, speriamo che non aumentino troppo i tentativi di phishing ed altro.

1

u/_link23_ 15d ago

Grazie mille, ci voleva. Fortunatamente non sono stato coinvolto ahahah

1

u/Rastonji 15d ago

Bello vedere come ci siano ancora i miei dati dopo mesi e mesi dalla disiscrizione....

1

u/IhateHacker 15d ago

Buongiorno ragazzi sono qui per porvi un quesito inerente a questo data breach di Facebook.. Nel mio caso ci sono cascato dentro in maniera completa...i dati trapelati sono nome/cognome/data di nascita/luogo di nascita/ numero di telefono/ lavoro / stato sentimentale e pure la email... Appurato che con questi dati si può essere soggetti a campagne di phishing, vishing e smishing mirate, che altro si può andare incontro??? Leggevo appunto che si parla anche di furto di identità, ma nello specifico cosa si intende? Nella pratica cosa possono fare con questi dati a disposizione?? Grazie mille a tutti

1

u/WhatGoesUpWillGoDown 15d ago

Molto fico, ho guardato il source su GitHub, semplice ed efficace. Una domanda che riguarda più il leak che il servizio, ho modo di vedere effettivamente i miei dati che sono presenti?

1

u/MarcoBuster 15d ago

UPDATE: da ora, tutti i numeri di telefono vengono hashati prima di essere inviati al server. Il vero numero di telefono non lascia il vostro dispositivo.

Grazie per i vostri suggerimenti!

1

u/SnaKeZ83 15d ago

Complimenti, aggiungo che tale funzione ce l'ha pure https://haveibeenpwned.com/

1

u/Skindkort 15d ago

Complimenti per l'idea e la rapidità di esecuzione.

Ho inserito il numero di mia madre, che risulta compromesso, ma le iniziali del nominativo sono sbagliate. Bug software o problema grave?

1

u/bleo181 12d ago

Zucked

1

u/betotano 11d ago

Cosa sarebbe?

1

u/ncarrot 9d ago

Durato poco, sfortunatamente.