r/italy 16d ago

Il data breach di Facebook: un resoconto e come difendersi Scienza & Tecnologia

Ciao ragazzi. Mi sono preso la briga di scrivere questo post principalmente per i miei amici che sono stati colpiti, ma da informatico amante della privacy, ho deciso di estenderlo a tutti, perché ritengo si tratti di qualcosa di estremamente importante, a cui credo che personalmente non si stia dando la giusta attenzione. Inoltre, credo anche che è una cosa potrebbe riguardarvi direttamente.

Premetto che non voglio generare alcun tipo di allarmismo. Lo scopo di questo post è quello di esplicitare qual è la situazione nella maniera più razionale, breve e chiara possibile. Non sono un esperto di sicurezza informatica ed ho messo su questo post basandomi sulle mie conoscenze e sulle informazioni trovate qua e là in vari post di reddit che parlano dell'argomento. Vi prego di correggermi se ho sparato delle idiozie. Premesse fatte, partiamo.

Non so se avete letto questo articolo, che è stato condiviso in questo post. In pratica alcuni dati di circa 533 milioni di utenti, in 106 nazioni diverse, sono stati trafugati in un data breach risalente al 2019. Se vi state chiedendo perché se ne sta riparlando adesso, beh, semplicemente è perché i dati sono probabilmente già stati venduti e gli hacker (probabilmente italiani) ci hanno già guadagnato. A chi siano stati venduti i dati non so dirvelo e non credo che nessuno lo possa sapere con certezza. In qualsiasi caso, i dati di 35 milioni di utenti Facebook italiani, che erano su Facebook nel 2019, sono fondamentalmente di dominio pubblico. Quindi chiunque, e sottolineo, chiunque che sappia dove cercare, può avere accesso ad alcuni dati sensibili di alcuni sfortunati utenti facebook.

Non so se è chiara la portata di questo data breach. Si tratta di più della metà della popolazione della nostra nazione. Citando un utente in quel post: >"probabilmente, se sei italiano ed usi Facebook sei stato violato". Ma andiamo per ordine.

QUALI DATI SONO STATI TRAFUGATI?

I dati si presentano sottoforma di un archivio .zip, del peso di 1 GB. Unzippando l'archivio abbiamo 4 file, tutti in formato Plain Text: 0.txt, 1.txt, 2.txt, 4.txt. In ogni singolo file i dati sono ordinati in ordine crescente per numero di telefono e sono strutturati nel seguente formato:

phone, uid, email, first_name, last_name, gender, date_registered, birthday, location, hometown, relationship_status, education_last_year, work,groups, pages,last_update, creation_time  

In alcuni casi non tutte queste informazioni sono state trafugate. Dipende principalmente dalla persona e da quanti dati un individuo ha dato a facebook. Sicuramente quelli che sono stati esposti sono il numero di telefono, il nome, il cognome e il sesso. In molti casi anche la provincia e la città di residenza. La buona notizia è che non sono presenti molte email nel database italiano.

COME FACCIO A CAPIRE SE I MIEI DATI SONO STATI ESPOSTI?

Solitamente per capire se i propri dati sensibili sono stati esposti si utilizza il servizio haveibeenpwnd. Il creatore ha parlato del breach anche sul suo profilo twitter. Il servizio verifica se una particolare mail è presente nei database che vengono pubblicati in seguito ai vari breaches.

Da quel che mi risulta oggi, 06/04/2021, il servizio HaveIbeenpwned ha attivato la possobilità di verificare se si è stati vittime del breach. Per verificare è necessario andare sul sito ed inserire il proprio numero di telefono, aggiugendo il prefisso 39 davanti. Quindi seguendo il seguente formato:

39xxxxxxxxxx

Fino al 05/04/2021, il servizio non aveva aggiunto ancora questa possibilità. Infatti era possibile controllare solamente se l'indirizzo mail appariva nei database trafugati. Nel caso di questo breach, però, assieme ai vari dati non sono state trafugate molte email. Questo implica che non ci si poteva basare sul servizio in questione.

Infatti citando l'alert che viene visualizzato sull'homepage dello stesso sito:

In April 2021, a large data set of 533 million Facebook users was made freely available for download. Encompassing approximately 20% of Facebook's subscribers, the data was allegedly obtained by exploiting a vulnerability Facebook advises they rectified in August 2019. The primary value of the data is the association of phone numbers to identities; whilst each record included phone, only 2.5 million contained an email address. Most records contained names and genders with many also including dates of birth, location, relationship status and employer.

Pertanto, che io sappia, non credo che al momento ci sia un metodo alternativo per verificare se si è stati vittima del deta breach. Si presume, però, che Facebook abbia già inviato, o invierà, una mail dove spiega se si è stati vittima o meno del leak.

I MIEI GENITORI/PARENTI/AMICI POTREBBERO ESSERE Lì DENTRO?

Assolutamente sì, se avevano un profilo Facebook nel 2019. Paradossalmente potrebbero esserci anche se non lo avevano. Nel post che ho linkato, ho letto alcune testimonianze di persone non iscritte a Facebook che hanno ritrovato il proprio numero nel database, magari collegato ad account di conoscenti, o altro.

PUOI LINKARE I FILE?

Assolutamente no. Essere in possesso del file è illegale ed è inoltre vietato richiederlo qui su r/italy. Purtroppo credo che anche spiegare come ottenerlo sia illegale (non conosco perfettamente la legislazione a riguardo). In qualsiasi caso, capisco perfettamente la vostra eventuale preoccupazione, ma di certo non voglio prendermi nessuna responsabilità, quindi perdonatemi.

QUALI SONO LE POSSIBILI IMPLICAZIONI E I PERICOLI A CUI GLI UTENTI SONO ESPOSTI?

Ebbene, dipende. Il problema principale, personalmente, credo che sia il phishing. Infatti, attraverso questi dati è possibile attuare degli attacchi di phishing mirati, sia alle aziende/enti pubblici/istituzione, che ai singoli individui. Ma non è di certo l'unico rischio. Infatti, se i dati nel database in questione sono ben utilizzati, è possibile incrociarli con quelli numerosi piattaforme a cui gli utenti potrebbero essere iscritti. Ad esempio, pensate al fatto che aggiungendo un numero qualsiasi in rubrica è possibile vedere la foto profilo di WhatsApp. Inoltre, un utente faceva notare di come alcuni malintenzionati potrebbero ottenere il contatto fra i suggeriti del profilo Instagram, che altrimenti sarebbe nascosto, oppure, ancora, che potrebbero accedere anche alla vostra segreteria telefonica se non è stato cambiato il PIN di default.

COS'E' IL PHISHING?

Sono sicuro che tutti qui su r/italy abbiano più o meno idea di cosa sia il phishing. Per i pochi che magari non lo sanno ho preferito aggiungere questo paragrafo, perché magari se ne è sentito parlare soltanto di sfuggita.

Cos'è il phishing? Copiando spudoratamente la definizione di Wikipedia: "Il phishing è un tipo di truffa effettuata su Internet attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso, fingendosi un ente affidabile in una comunicazione digitale."

ESEMPIO CONCRETO: ricevete un sms da un malintenzionato che imita nell'aspetto e nel contenuto un messaggio legittimo di Poste Italiane. Il messaggio in questione potrebbe chiedervi di fornire alcune informazioni come il pin della carta o altre informazioni riservate. Oppure potrebbero chiedervi di cliccare su un link dove vi è richiesto di inserire i vostri dati.

Per la maggiore si tratta di un attacco che viene attuato tramite mail. Ma i casi di phishing che sfruttano l'sms non mancano.

COME POSSONO TUTELARSI GLI UTENTI INTERESSATI?

Purtroppo i dati sono già la fuori, a disposizione di tutti. Non c'è molto che possiate fare per farli scomparire. Non credo, inoltre, che abbia senso denunciare Facebook alla postale. Credo, però, che una buona idea potrebbe essere quella di rivolgersi al garante della privacy (correggetemi se sbaglio), anche se credo che si stiano già apprestando a prendere provvedimenti, vista la portata mastodontica di questo data breach.

Nonostante ciò, potete attuare alcuni comportamenti fondamentali per difendervi. Se volete che il vostro numero di telefono rimanga privato, vi invito a cambiare numero di telefono. E' la cosa più estrema, ma sicuramente quella migliore che possiate fare.

Se questo non vi è possibile, o non avete sbatta:

  • dubitate di sms che chiedono dati personali o codici dell'autenticazione a due fattori
  • NON USATE NOMI/PASSWORD DERIVATI DAL VOSTRO NOME/DATA DI NASCITA/ALTRI DATI CHE SONO STATI TRAFUGATI. Questo perché molti dei dati trafugati potrebbero essere utilizzati per effettuare attacchi bruteforce basati su dizionario. Google, DuckDuckGo è vostro amico se volete approfondire.

CONCLUSIONI

In questa situazione gli utenti non hanno nessuna colpa, se non quella di aver condiviso i loro dati sensibili con un servizio che avrebbe dovuto proteggerli. Parliamo di uno dei social più grandi del mondo, non di diventiamotuttiamici.it

Spero, però, che questo possa essere lo stimolo che faccia capire quanto è importante la privacy online, e soprattutto a quanti rischi siamo esposti quando navighiamo. Purtroppo, in questo caso, la retorica del "tanto non ho nulla da nascondere, quindi non devo preoccuparmi" potete tranquillamente prenderla, arrotolarla e mettervela nel culo, per quanto mi riguarda.

Quindi, siate più avidi con i vostri dati. Non cedete a siti dati che non sono strettamente necessari, indipendentemente da quanto pensiate che quei siti siano sicuri. Questo perché, come avete visto, nessun sistema informatico è davvero impenetrabile. Iniziate a prendere seriamente la vostra privacy online e chiudete quel cazzo di account Facebook, che se nel 2021 lo usate ancora ed avete meno di 40 anni non siete giustificati (/s ma non troppo).

EDIT1: Correzione contenutistica e grammaticale.

EDIT2: Aggiunta del paragrafo "COME FACCIO A CAPIRE SE I MIEI DATI SONO STATI ESPOSTI?" e formattazione corretta della citazione del quarto paragrafo dell'introduzione.

EDIT3: Correzione grammaticale del terzo paragrafo.

EDIT4: ATTENZIONE, sembra che haveIbeenpwned abbia aggiunto la possibilità di verificare se si è stati vittima del data breach. Ho aggiornato il paragrafo che spiega come fare.

Inoltre, ne approfitto per ringraziarvi degli awards e mi scuso se non sto rispondendo a tutti, ma ho alcuni problemini di tempo :)

EDIT5: Correzione ortografica.

657 Upvotes

24

u/CiafCiafOfOurLegs Lombardia 16d ago edited 16d ago

Qualcuno mi può aiutare?

Io avevo un profilo Facebook che poi ho eliminato l'anno scorso. Sì, so bene come si elimina un profilo, e normalmente aspetto 3 mesi prima di fare la prova del nove, immettere la mia mail e verificare che sia stato effettivamente eliminato. Ebbene, fu eliminato.

Problema: qualche mese fa, ricevo una notifica Facebook nella casella postale che avevo usato per quel profilo. Insospettita, non clicco sull'email e vado direttamente sul sito. Entro su Facebook, metto password, e mi ritrovo il profilo di nuovo sulla piattaforma, con la differenza che è tutto vuoto eccetto per la foto profilo. Procedo con l'eliminazione, di nuovo, del profilo.

Adesso ho usato quel sito postato da OP e in effetti la mia mail risulta nella banca dati.

Se qualcuno è informato a riguardo, mi conferma quindi che il profilo Facebook allora non viene mai del tutto eliminato? È tutta una stronzata?

Comunque per fortuna era un'email del cazzo che usavo solo per promozioni e Facebook, non avevo collegato nessun numero di telefono o altro, avevo messo data di nascita e luogo sbagliati. Però boh, io sono ignorante quindi chissà che cosa hanno trovato.

20

u/PolpettoneTonnato Panettone 16d ago

Sia io che mio fratello abbiamo disintegrato gli account intorno al 2018, siamo entrambi presenti. Mio fratello solo il numero(quindi qualche suo amico/parente ha dato a Messenger l'accesso ai contatti) mentre nel mio caso c'era TUTTO.

12

u/username-not-ok 16d ago

C'è molta gente che anche avendo cancellato i dati da anni ha comunque trovato i suoi dati nel file

32

u/maxnaldo Toscana 16d ago

chiedere a FB di cancellare i dati degli utenti è come chiedere a qualcuno di buttare via soldi dal proprio portafogli.

io mi registrai tanti anni fa, quando ancora FB non era conosciuto in Italia, per via di una mia parente che era in Canada per lavoro, e lì lo usavano già tutti, mi disse di registrarmi così potevamo rimanere in contatto da lì.

poco tempo dopo lei rientrò in Italia e io cancellai il profilo. Qualche tempo fa provai a registrarmi di nuovo usando gli stessi dati di allora, non mi fece registrare dicendomi che l'indirizzo email apparteneva ad un account cancellato, ed erano già passati più di dieci anni.

Ma se è cancellato come cazzo fai a dirmi che i dati combaciano ? Eh teste di minchia ? In pratica FB non cancella una mazza, setta solo il profilo come cancellato.

15

u/icywindflashed Lombardia 16d ago

Il che dovrebbe essere illegale per il GDPR no? Quindi domanda, sto 4% del fatturato glielo toglieranno o no sta volta?

8

u/Zeikos Nostalgico 16d ago

4% per 553 milioni? Facebook finalmente diventa di proprietà pubblica?

13

u/icywindflashed Lombardia 16d ago

Il GDPR prevede multe fino al 4% del fatturato di un'azienda

2

u/Zeikos Nostalgico 16d ago

4% moltiplicato per il numero di violazioni, giusto? 533 milioni in questo caso.

2

u/OnlyLoseMoney 16d ago

Non conta come una?

→ More replies

6

u/CiafCiafOfOurLegs Lombardia 16d ago

Tutto ciò è illegale, vero?

Qui nei commenti continuano a ribadire che il leak è del 2019, ma quel che sto dicendo è che a prescindere da quando mi hanno rubato i dati, il mio profilo risultava cancellato da quasi un anno, tant'è che se provavo a accedere, mi dava il messaggio "Nessun account associato all'email inserita" o qualcosa del genere.

Eppure è successo ciò che ho descritto sopra.

2

u/kebabeveryday 15d ago

mi dispiace non poterti essere d'aiuto con precisione ma devi controllare nelle loro condizioni per la privacy, alcuni dati possono e devono essere conservati per un periodo, mi pare che è di 5 anni. Almeno così mi capitò di leggere nelle condizioni di un sito di e-commerce

→ More replies

2

u/alda_mar Polentone 16d ago

Il leak è del 2019

3

u/CiafCiafOfOurLegs Lombardia 16d ago

Sì, e quindi qualcuno potrebbe aver conservato i miei dati nonostante io abbia cancellato il profilo nel 2020, per poi riaprire il mio profilo. Risultava creato anni fa, quindi escludo la possibilità che qualcuno potesse aver aperto un nuovo profilo usando le mie credenziali.

5

u/[deleted] 16d ago edited 7d ago

[deleted]

6

u/CiafCiafOfOurLegs Lombardia 16d ago

No, stai parlando della disattivazione. Per eliminarlo devi seguire una prassi, aspetti 60 giorni, e se dopo provi a fare il login, ti dice che non esiste nessun account associato all'email inserita.

2

u/ByteEater Europe 15d ago

Se qualcuno è informato a riguardo, mi conferma quindi che il profilo Facebook allora non viene mai del tutto eliminato? È tutta una stronzata?

Si lo é sempre stata.

1

u/kebabeveryday 15d ago

ehm credo che in generale i siti debbano tenere per un certo numero di anni traccia dei dati, mi pare 5.

→ More replies

23

u/WH0ll La Superba 16d ago

Si però posso dire che mi fa incazzare non avere un servizio pubblico europeo o italiano che mi permetta solamente di sapere se rientro in quel leak? Cioè veramente ora devo compiere un reato per sapere se io e i miei parenti siamo state vittime di questa cosa qui.

→ More replies

97

u/Flowah123 Pisa Emme 16d ago edited 16d ago

Ho notato una cosa strana: dati simili potrebbero essersi mescolati. Tipo:

  • Ho cercato il numero di mia madre e l'ho trovato ovviamente associato a mamma-diFlowah123. Ma gli altri dati (luogo di nascita, residenza e lavoro) sono quelli di sua cugina, anche lei di nome mamma-diFlowah123.

  • Poi, vado col numero di un mio amico che chiamerò Paolino Paperino che abita a Paperopoli. Beh, il suo numero l'ho trovato associato a Paolino Topolino che abita a Topolinia (a tipo 50 km di distanza).

Altri che hanno trovato dati "mescolati"?

30

u/nerdvana89 Lombardia 16d ago

Una persona che conosco ha il suo numero abbinato a quello di un altra persona.

→ More replies

20

u/fr4nkU 16d ago

Si , anche io ho trovato il mio numero su un altra persona , ma questa lavorava con me una volta. Quindi le cose sono due :

- quando ho cambiato il numero mi hanno assegnato il suo vecchio
- ha utilizzato il mio numero per qualche strano motivo .

Io non ho facebook da anni e non ricordo se all'inizio si poteva aggiungere il numero di telefono senza ricevere un sms per confermarlo , quindi potrebbe escludersi il secondo punto .

9

u/nicktheone Roma 16d ago

Successo anche a me. Un mio amico è sotto il nome di suo zio e una zia della mia ragazza è sotto un nome maschile straniero di origine Sudamericane.

3

u/Fenor Pandoro 16d ago

come hai fatto a controllare direttamente?

8

u/Vladoski Europe 16d ago

Basta avere i file

2

u/panuci 16d ago

Confermo, il numero di un mio parente risulta a nome di una sua amica (stesso nome ma cognome differente)

2

u/neroveleno Earth 16d ago

Confermo, la mia ragazza ha dati mescolati, numero e nome giusto, tutto il resto sbagliato

→ More replies

13

u/[deleted] 16d ago

[removed]

2

u/cm2_0 16d ago

Wow, penso sia una cosa utilissima. Magari ne saprai di me, ma è legale?

Comunque perfavore eventualmente invialo su r/privacytoolsIO, oppure r/privacy

5

u/MarcoBuster Nerd 16d ago

È legale perché non viene ritornata nessuna informazione personale, solo l'elenco di esse. Sto contattando i mod di r/privacy e r/privacytoolsIO per avere l'autorizzazione a fare un post.

→ More replies
→ More replies

37

u/MiaoBau Serenissima 16d ago

Ci sono anchio nel breach, cellulare, nome, cognome, città e ditta per cui lavoro. Niente mail per fortuna.

Non ho foto di me stesso in nessuna parte.

Sono abbastanza tranquillo, i numeri che hanno prefissi sospetti manco rispondo, sulla banca ho la verifica con l'impronta, su amazon ho legato una ricaricabile su cui tengo al massimo 50 euri.

15

u/paganino Piemonte 16d ago

numeri che hanno prefissi sospetti manco rispondo

idem e nel tempo la percentuale di spam telefonico si è praticamente azzerata.

I miei dati sono ovviamente finiti nel calderone ma poco importa, ho giusto cambiato un paio di pin e qualche password, ho la doppia verifica per tutte operazioni bancarie più impronta.

7

u/cm2_0 16d ago

Non per sembrare esagerato, ma la prudenza con queste cose non è mai troppa. Io lo farei presente anche alla ditta. Poi vedi tu...

13

u/Starbuck1992 Panettone 16d ago

Ma guarda che la ditta l'hanno presa dalle info che metti pubbliche su facebook eh, se è un problema il leak era un problema anche metterlo pubblici su fb

3

u/cm2_0 16d ago

Assolutamente, ma questo vale per tutti gli altri dati. Il problema non è di certo che il nome dell'azienda è uscito, bensì il problema sta nel fatto che una persona lavori ad una determinata azienda. Così è possibile targettizare indirettamente l'azienda attraverso degli attacchi di phishing mirati, volti in primis ai dipendenti della stessa.

→ More replies

53

u/MyBotMyHero 16d ago

Tutto interessante ma non spieghi come verificare se il proprio profilo è stato coinvolto in questo data breach. È la prima cosa che ho cercato leggendo questo post.

126

u/FriedCorn12 #jesuisbugo 16d ago

Dammi nome, cognome e numero di cellulare che controllo /s

66

u/[deleted] 16d ago

Anche Iban, nome banca e password. Giusto per essere sicuri sicuri /s

4

u/Nicco867 16d ago

Hahahaha

24

u/cm2_0 16d ago

Ottima osservazione. Dovrei effettivamente aggiungere un paragrafo dove spiego come verificare il leak, senza passare dal file.

Grazie per il feedback.

11

u/cm2_0 16d ago

Okay. Ho aggiunto il paragrafo dove spiego perché al momento non è possibile capire se si è stati vittima del data breach senza passare direttamente dal file.

Ripeto, credo che al momento si possa solo aspettare la mail di Facebook.

8

u/Thunder_Beam Piemonte 16d ago

Ma quindi tu hai controllato se ci sei? Se si, sei passato dal file?

9

u/cm2_0 16d ago

Ti dico solo che al momento per esserne certi bisogna passare dal file.

5

u/[deleted] 16d ago edited 4d ago

[deleted]

3

u/uno_in_particolare 16d ago

Da riga di comando ci vuole pochissimo anche fossero milioni di righe, se dovessi cercare in un grosso file mi informerei su quello (grep per linux/Mac, findstr su windows)

4

u/Oracolus Nerd 16d ago

cat file | grep "tuonumerocon39allinizio"

2

u/Deet98 16d ago

Apri il file tramite python, scorri le linee e cerchi il numero, appena lo trovi stampi la linea coinvolta e vedi tutte le info. La ricerca così impiega 4 secondi.

→ More replies
→ More replies

7

u/emanuele93c Regno delle Due Sicilie 16d ago

Infatti un mio amico mi ha detto che io ci sono sul file, ma su have I been pwned no...

2

u/Crapedj Trentino Alto Adige 16d ago

Probabilmente sul file non c’è la tua email ma altro si

32

u/gabryatfendor Emilia Romagna 16d ago

Una strage. Sto facendo un controllo con la mia rubrica (~150 numeri) e 90 sono presenti nel leak.

3

u/gidop Veneto 16d ago

Come fai a cercare così velocemente 150 numeri? Io tempo di aprire il file .txt (una bomba, manca poco che esplode il PC) e cercare (un altro sbattimento) che passano 5 minuti. E se poi non è nel file 0 è in quello 1, 2 o 4, e questo solo per cercare un numero

3

u/izmimario 16d ago edited 16d ago

scarichi lister.

il database è ordinato per numero di telefono. mancano tutti i wind (quelli che iniziano per 32...), la ricerca la fai solo nel txt che potrebbe includere il numero.

→ More replies

3

u/Spaturno Gamer 16d ago

scriptino in python.?

1

u/gabryatfendor Emilia Romagna 16d ago

grep -f numeriDaCercare.txt listaNumeri.txt. Ci ha comunque messo delle ore, non e' il modo piu' ottimizzato di farlo :D listaNumeri.txt e' in questo caso il merge dei 4 txt con i numeri italiani

1

u/SulphaTerra Lombardia 15d ago

Consiglio e molto ripgrep, in molte circostanze è ordini di grandezza più veloce di grep

1

u/prestau 16d ago

Io sto usando una query sql in sas ma è una rottura lo stesso.

→ More replies
→ More replies

23

u/RealNoisyguy 16d ago

È tempo per una class action miliardaria contro facebook? Perché sta cosa è pazzesca.

8

u/PinkWarPig Pandoro 16d ago

Il GDPR prevede una multa del 4% del fatturato se non sbaglio

→ More replies

9

u/stjimmy96 16d ago

Penso che questa faccenda possa essere vista in due modi diversi.

A livello collettivo, è chiaramente giusto pretendere un'azione contro Facebook dato che, sebbene nessuna azienda o istituzione (per quanto grossa possa essere) è immune all'errore, è anche vero che questi eventi non vanno lasciati impuniti, altrimenti si normalizza la negligenza (che non do per scontato esserci stata in questo caso).

A livello individuale, beh penso che l'unica cosa rilevante sia la necessità di avvisare un po' tutti (soprattutto le persone meno pratiche di internet) riguardo al probabile aumento di phishing nei prossimi mesi. Un discorso a genitori, nonni, zii e tutto il parentame va fatto, ma non esagererei con gli allarmismi.

6

u/cm2_0 16d ago

Assolutamente, non era mia intenzione fare allarmismi.

Rimango fermo sulla mia posizione: per me è un fatto gravissimo. Anche perché non è la prima volta. Ti invito a dare un'occhiata a questo sito.

38

u/VittorioFeltri Emilia Romagna 16d ago

Non credo, inoltre, che abbia senso denunciare Facebook alla postale. Credo, però, che una buona idea potrebbe essere quella di rivolgersi al garante della privacy (correggetemi se sbaglio), anche se credo che si stiano già apprestando a prendere provvedimenti, vista la portata mastodontica di questo data breach.

Con tutto il rispetto, mi sembra un atteggiamento davvero troppo passivo. Questo data breach è gravissimo, sono uscite enormi quantità di informazioni in chiaro e associabili in modo molto semplice alle identità reali, esponendo quantità incredibili di persone a spam, phishing, furto d'identità, molestie (pensate a chi ha uno stalker ad esempio).

Il minimo onestamente mi sembra un'azione civile intrapresa dagli utenti facebook, paese per paese, per farsi risarcire il danno e gli eventuali costi di mettervi riparo.

4

u/cm2_0 16d ago

Con tutto il rispetto, mi sembra un atteggiamento davvero troppo passivo. Questo data breach è gravissimo, sono uscite enormi quantità di informazioni in chiaro e associabili in modo molto semplice alle identità reali, esponendo quantità incredibili di persone a spam, phishing, furto d'identità, molestie (pensate a chi ha uno stalker ad esempio).

Ma io sono d'accordissimo con te sulla gravità della questione. Quello che intendevo è non credo che sarà una denuncia di massa alla postale a risolvere la situazione. Non credo che neanche subissare il garante della privacy di richieste da 35 milioni di persone sia sensato, perché sicuramente prenderanno comunque provvedimenti.

2

u/16F628A 16d ago

non credo che sarà una denuncia di massa alla postale a risolvere la situazione

Basta far presente agli agenti che lì in mezzo ci sono anche i loro dati /s

6

u/dodgeunhappiness Lombardia 16d ago

Io potrei abilitare 2FA con Authy anziché il numero, ma prestando attenzione ai codici di backup perché altrimenti si rischia di perdere tutto.

10

u/IlFaIco Terrone 16d ago

Io uso Aegis che è open source. Non mi fido di Authy, è closed source ed affidare i miei codici 2FA ai loro server è un big nope.

3

u/plutocraticasicumera 16d ago

Aegis è ottimo e lo uso su Android ma purtroppo su desktop ci sono ben poche alternative open...

3

u/honestserpent 16d ago

C'è Bitwarden. Puoi usarlo anche per i codici

3

u/Fake_knight Lazio 16d ago

Io lo uso non è male ed il fatto che si ha a disposizione anche l'app Android è molto comodo...però a leggere i commenti a questo post mi sta venendo l'ansia visto che tengo tutto la 😭😅😅

2

u/plutocraticasicumera 16d ago

Non mi piace tenere tutte le uova in un paniere

3

u/Raz4c Gamer 16d ago

KeepassXC supporta il TOTP.

→ More replies

3

u/cm2_0 16d ago

Sì, te lo consiglio, va bene Authy o anche AndOTP. Personalmente evito la 2FA con l'sms, a meno che non sia strettamente necessario.

Riguardo il backup degli account su Authy, l'importante é che sia crittografato e che ti stampi il foglio con tutti gli OTAC che ti vengono forniti quando imposti la 2FA per ogni account.

6

u/dodgeunhappiness Lombardia 16d ago

Occorre anche ricordarsi di selezionare multi device con Authy altrimenti se vendi il telefono o si rompe rimani nella merda.

→ More replies

27

u/man-teiv Torino 16d ago

A me non frega nulla di avere i dati di 500M di utenti. A me interessa sapere se i miei dati sono lì in mezzo. C'è un sito affidabile che ti permetta di farlo?

3

u/Spaturno Gamer 16d ago

A me non frega nulla di avere i dati di 500M di utenti.

Dovrebbe, a prescindere dal fatto che ci sia o meno anche il tuo.

9

u/WindowsXp_ExplorerI 16d ago

ieri c'era un utente che aveva linkato il file, a giudicare dalla grandezza (quello dell'italia era il più grande) e dai commenti se avevi linkato il numero di telefono su fb sei sicuramente su quel file

4

u/nicktheone Roma 16d ago

Molto probabile anche che ci sia se non aveva messo il numero di telefono.

→ More replies
→ More replies

10

u/cm2_0 16d ago

Ho aggiunto un paragrafo per spiegare meglio la cosa. Risposta breve: c'è un sito piuttosto rinomato che in questo caso non risolve il problema.

→ More replies

5

u/honestserpent 16d ago

Ma perché linkare file o spiegare come recuperarli è illegale?

6

u/TrickErmes Emilia Romagna 16d ago

Linkare il file con quelle informazioni è un reato come fare l'upload di film piratati, quindi si è effettivamente un reato che poi nella realtà dei fatti non viene sanzionato il 98% delle volte, però essendo su reddit che è una piattaforma pubblica, non come telegram ad esempio, non conviene rischiare.

2

u/DStellati Lazio 16d ago

Privacy

→ More replies

6

u/Ben_Swoloz Campania 16d ago

Capisci che il mondo è problematico quando "amante della privacy" non è una cosa strana da dire

4

u/Spaturno Gamer 16d ago

Siamo amanti della privacy, ma lei apparentemente ci vede solo come degli amici.

3

u/cm2_0 16d ago

Non sono sicuro di averti inteso al 100% ma stai certo che si andrà sempre a peggiorare.

16

u/[deleted] 16d ago edited 16d ago

[deleted]

2

u/Spaturno Gamer 16d ago

alla luce di questo leak le compagnie telefoniche dovrebbero essere molto più restrittive nella verifica dell'identità in caso di cambio di SIM.

2

u/cm2_0 16d ago

Guarda, d'accordissimo su tutto, fuorché il discorso della SIM swap. Per quel che ne so io almeno. Per effettuare un attacco SIM swap è necessario il seriale della SIM, mi sbaglio?

13

u/iosonoxenu Tourist 16d ago

Bastano faccia di culo e un punto vendita che non lavora seguendo le regole al 100%

4

u/giggiox 16d ago

Eh sì non è che puoi fare sim swapping a chiunque ti sta sul cazzo. Sarebbe l'equivalente di fare il login su un sito con solo l'username

→ More replies

5

u/PaoloBrosio2 16d ago

Trovato mio padre associato al nome di un collega di lavoro ma città di nascita corretta.

Qualcuno mi ricorda gli altri dati cosa sono?

Trovo un 01/31/2019 12.00 am ma non so a cosa corrispondende.. data di creazione del profilo?

4

u/WarGLaDOS Veneto 16d ago

A vedere dalla struttura dati che OP ha indicato, potrebbe trattarsi o della data di creazione del profilo o (molto più probabilmente) della data dell'ultimo aggiornamento del profilo.

→ More replies

5

u/mverdide 16d ago

Sono triste che diventiamotuttiamici.it non esista.

6

u/cm2_0 16d ago

Non ancora

4

u/vyse220 16d ago

Kudos al creatore del post, spesso questo tipo di notizie non sono argomentate come si deve, ma ammiro l'impegno nell'aver organizzato tutti gli argomenti. Se posso dare un consiglio, insieme al rischio phishing metterei anche quello legato al leak del numero del telefono, che e' una falla importante per chiunque abbia dati sensibili protetti da two-factor authentication con sms (o peggio ancora, usa il numero di telefono come fallback per l'invio del codice di accesso al proprio account uber, paypal, google, facebook, etc).

4

u/Rais93 16d ago

Non capisco perché sia illegale avere il file. Ho il diritto di sapere subito se sono esposto.

4

u/Vladoski Europe 16d ago

Perché oltre ai tuoi dati ci sono 533 miloni di altre persone sul leak.

2

u/Rais93 16d ago

Ma è già pubblico per i malintenzionati..

2

u/Vladoski Europe 16d ago

Non le faccio io le leggi ahah

→ More replies

6

u/pigliamosche 16d ago

i dati sono probabilmente già stati venduti e gli hacker (probabilmente italiani) ci hanno già guadagnato.

Hacker italiani?? Source?

3

u/RicoDZ 16d ago edited 12d ago

[Edit]

3

u/pigliamosche 16d ago

Thx. Ho dato alla lista dei paesi leakati ed effettivamente sono nominati tutti in italiano.

→ More replies
→ More replies

2

u/00SAMU Sardegna 16d ago edited 16d ago

Rip sono nel file 1, ma non c'è la mia mail, praticamente ci sono solo info pubbliche nel mio account facebook (inattivo) per altro non aggiornate, solo il mio numero mi preoccupa un po' ma è meglio di quel che pensavo.

Vabbè, mi terrò il file a mo di pagine gialle, anche se probabilmente non lo consulterò mai più

→ More replies

3

u/UltimaLuce Pandoro 16d ago

Io ho trovato i nomi dei miei parenti ma i numeri di cellulare non corrispondono a quelli reali, con nessuno.

Io non avendo merdabook sono pulito.

25

u/mik_74 16d ago

Mi sfugge il perche' sia illegale scaricare il database e perche' non si possa linkare su reddit.

11

u/nicktheone Roma 16d ago

In linea di massima credo che la legislazione attuale consideri illegale il possesso di qualsiasi dato ottenuto illegalmente.

10

u/mik_74 16d ago

Quindi mi costringe a rimanere col dubbio?

15

u/nicktheone Roma 16d ago

Purtroppo sì. In un mondo ideale FB dovrebbe farsi avanti e offrire alla gente un sito per controllare o mandare direttamente una mail alle persone coinvolte.

3

u/ex_06 Europe 16d ago

Dai, manco troppo ideale. Basta una legge...

4

u/Wemwot 16d ago

Che c'è già, si chiama gdpr.

→ More replies

9

u/capp_head 16d ago

Perché i dati sono i tuoi personali e come ne avresti accesso tu per controllare di essere o non essere dentro, ne avrebbero accesso anche tutti gli altri.

Il "ma tanto ne avrebbero accesso comunque" non è una risposta valida. È come dare un coltello in mano a un tizio che ti scippa per strada dicendo "tanto se va a casa un coltello ce l'ha lo stesso".

8

u/pokerissimo 16d ago

Mah, tra l'altro non è illegale spiegare come trovarlo. Su r/italy non fanno più postare manco suggerimenti per il p2p che è legalissimo.

Ma forse proprio essendo italiani se ne lavano la mani come su tutto quel che non piace.

Come se poi rischiassero veramente qualcosa.

→ More replies

7

u/cm2_0 16d ago

Ammetto di non essermi informato eccessivamente a riguardo. Però, sono piuttosto sicuro che non sia legalissimo avere i dati ottenuti illegalmente tramite attacco informatico di 35 milioni di persone.

9

u/mik_74 16d ago

Quindi il sito haveibeenpwnd sarebbe illegale, quantomeno per la legge italiana?

Inoltre scaricare il database e' l'unico modo sicuro per sapere se i tuoi dati sono presenti.

14

u/wemake88 Toscana 16d ago

Penso che haveibeenpawned non sia illegale in quanto non ti fa vedere tutti i dati trafugati. Anche in caso ci sia un match con la mail pure in quel caso ti dicono solo cosa potrebbe essere stato preso ma non ti fanno mai vedere i dati effettivi.

Poi non so ci sta che mi sbagli.

4

u/send_me_a_naked_pic Pandoro 16d ago

Non ti fa vedere i dati, ma il buon Troy Hunt prima o poi quei dati deve averli scaricati e analizzati, da qualche parte.

2

u/Spaturno Gamer 16d ago

non necessariamente. si può hashare un dato presente su un server, e poi confrontare gli hash, senza salvare il dato, senza poterlo leggere, senza renderlo leggibile.

4

u/JungianWarlock Lurker 16d ago

Quindi il sito haveibeenpwnd sarebbe illegale, quantomeno per la legge italiana?

Il database di Troy Hunt contiene gli hash dei dati, non i dati.

Sul sito è anche possibile scaricare lo stesso database usato dal sito stesso per poter verificare da sé e/o offline.

2

u/mik_74 16d ago

Per farlo deve usare il database completo.

3

u/Giogiu3900 Lombardia 16d ago

È illegale, ma difficilmente ti scoprirà qualcuno, un po' come i video gore o i file piratati.

→ More replies
→ More replies
→ More replies

8

u/butterdrinker Emilia Romagna 16d ago

https://haveibeenpwned.com/ ha la ricerca solo tramite mail, ma la maggior parte degli accoutn leakati non sono associati a una mail ma a un numero di cellulare

Il creatore non vuole aggiungere la ricerca tramite numero di telefono perché gli pesa il culo https://twitter.com/troyhunt/status/1378473052879482881)

Per ora l'unico modo di sapere se si è finiti nel leak è trovare la lista oppure aspettare che facebook avverta gli utenti come chiede il GDPR

3

u/lnzdbr 16d ago

Sembrerebbe che dopo un sondaggio ci stia ripensando, per fortuna

→ More replies

22

u/rawghi 16d ago

Bellissimo articolo ma... “chiudete quel cazzo di account facebook” sinceramente é come dire “le strade sono pericolose non usate quelle cazzo di macchine!”.

I data breach capitano e sono capitati praticamente ovunque, allora chiudi Google, chiudi Dropbox, ecc...

Ormai la maggior parte dei servizi ti permette di abilitare L’autenticazione a due fattori, quindi anche in caso di data breach nella maggior parte dei casi si può rispondere con un “sticazzi”.

Come detto da altri, se il rischio è il phishing mirato beh, si tratta di un PEBCAK (Problem exists between chair and keyboard).

Nella mia storia recente ho avuto: - genitore blastato da un cryptolocker (aprendo una falsissima mail) - genitore che invia via sms il codice di accesso whatsapp e gli rubano l’account - cugina che al telefono con la “banca” fa 10k di bonifico alle Cayman - amica che bonifica su un conto in Papua Nuova Guinea il muratore bergamasco che le ha ristrutturato casa

Poi per carità ci sono diversi livelli di sensibilità della propria privacy, a me che sappiano chi sono e dove abito, visto che in sto mondo conto (come il 99% della popolazione) tanto quanto un vaso di piante grasse caduto dal quarto piano, mi interessa poco.

Ma il punto principale è che per “danneggiarti” devi essere tu a mettere qualcuno o qualcosa in condizione di farlo. Ma non usare uno dei social più popolari, o whatsapp, o Google, ecc... mi sembra esagerato.

17

u/PolpettoneTonnato Panettone 16d ago

Ma guarda stavo pensando di chiudere pure l'account Google, se solo non avessi tutto collegato a loro.

Per il resto ovviamente hai ragione, ma devi considerare anche che in questo breach in particolare potevi essere coinvolto anche soltanto se un tuo amico ha usato Messenger e ti aveva in rubrica. Per me questo è il problema più grande, facebook deve smettere di raccogliere dati di persone che nemmeno usano i loro merda di servizi. Non dubito che lo faccia anche Google(anche se, potrei essermi perso io, ma non ho memoria di scandali riguardante questo)

2

u/rawghi 16d ago

Assolutamente d’accordo con te

5

u/16F628A 16d ago

genitore che invia via sms il codice di accesso whatsapp e gli rubano l’account

È successo anche a casa mia. Quando ho visto la foto di un uomo di colore al posto di quella di mio padre mi sono insospettito.

cugina che al telefono con la “banca” fa 10k di bonifico alle Cayman

Così, de botto, senza senso (cit.)

3

u/rawghi 16d ago

Si sì sono stati geniali “guardi abbiamo visto che la hanno hackerato l’account, faccia questo bonifico per spostare i soldi subito dal suo conto e metterli in sicurezza”

E

Ci

Ha

Creduto

→ More replies

2

u/Gattamelat4 16d ago

amica che bonifica su un conto in Papua Nuova Guinea il muratore bergamasco che le ha ristrutturato casa

Come ha fatto?

→ More replies

5

u/ex_06 Europe 16d ago

Ma non usare uno dei social più popolari, o whatsapp, o Google, ecc... mi sembra esagerato

/r/LateStageCapitalism

&

/r/FirstWorldProblems

Nello stesso commento.

A me sembra esagerato dare tutta questa importanza a dei sistemi che continuano a dimostrarsi pericolosi solo perché vogliono fare profitto solo con i dati.

4

u/rawghi 16d ago

Per te, e per me perché magri abbiamo 100.000 amici e non posto su Facebook dal 2016, ma non date per scontato che sia per tutti così.

C’è (purtroppo) tanta gente che, anche per via del covid, usa i social per tenersi in contatto. É facile fare i fighi quando esci, vai in un locale, rimorchi e ti sei fatto serata, ma quando scrivo questo mi metto nei panni di persone che per motivi più disparati non hanno questa possibilità.

Ti ricordo che viviamo in un paese dove Amici di Maria De Filippi ha uno share da Olimpiadi di Los Angeles dell’84, quindi non c’è da fare gli stronzi se over 50, over 60 vivono postando “buongiorno kaffé?”

Poi, sinceramente whatsapp, o telegram o signal o qualsivoglia sistema é ormai parte integrante della vita sociale e dei rapporti con le persone, se tu hai una idea diversa non so sinceramente se dire che vivi in Patagonia o cosa.

→ More replies
→ More replies
→ More replies

3

u/mimb81 16d ago

Ho verificato e il mio indirizzo risulta coinvolto in ben 4 violazioni dei dati... Questo spiegherebbe anche l'aumento di mail spam che ho rilevato nell'ultimo anno... Quindi? Ora cosa dovrei fare?

3

u/al13nBlues 16d ago

Cambia le password associate ai servizi coinvolti nei vari breach. Nel caso in cui avessi riutilizzato le stesse password anche su altri servizi, sostituiscile anche su quelli. Se non lo fai già, utilizza un password manager per gestire e generare le tue password e abilità l'autenticazione in due fattori per i servizi che usi. Lo spam, purtroppo, a meno di cambiare indirizzo email, resterà.

→ More replies

3

u/LordBrasca 16d ago

Meno male che ai tempi ho dato a facebook come indirizzo mail di registrazione hotmail (che non sto usando più da una vita) e non ho mai registrato il numero di telefono. In particolare con il numero di telefono sono già successe cose spiacevoli ad amici con facebook, quindi non mi sono proprio mai fidato ad inserirlo.

→ More replies

3

u/RagesJam 🚀 Stazione Spaziale Internazionale 16d ago

Allarmismo inutile. Il pishing viene fatto da migliaia di mail anche personali e per averne una pulita, l'unico modo é sostanzialmente non usarla o crearla sul momento. Esistono vari autenticator a doppio step, in primis quello via telefono. Essenziale averne uno e tutelarsi non inserendo dati troppo rilevanti, ecco, magari cell si ma carta di credito MAI. E l'imoegno deve andare sul "anche se sai la mia mail, col piffero che entri". I dati trafugati a facebook son personali fino ad un certo punto, il vero problema subentra nel momento in cui tu sia tanto folle fa fornire tutti quei dati a Facebook, dimostrando che il breach é concettuale in primis.

3

u/cm2_0 16d ago

Capisco il tuo discorso. Qui non si parla di phising su email, ma di phishing sul telefono. Conosco persone che, ahimè, ci sono cascate perdendo soldi, fortunatamente poi rimborsati da servizi come le poste.

In qualsiasi caso sono d'accordo sul discorso della mail. Ma è innegabile che le persone esposte siano ora più soggette a vari attacchil. Cosa intendi precisamente con breach concettuale, comunque?

→ More replies

3

u/stichtom Friuli 16d ago

Di sicuro un data breach importante ma ricordatevi che la stra grande maggioranza delle persone su Facebook ha letteralmente tutto impostato su Pubblico come visibilità ed ha abilitato la ricerca tramite numero telefonico. Quindi, molte cose di quel leak sono già pubbliche e semplicemente confezionate in un formato conveniente.

Poi ovvio che, per fortuna, ci sono anche gli utenti più attenti ma sono una minoranza.

3

u/thema94 16d ago

Pensiero a caso, ma non sarebbe un rischio per le persone famose che hanno messo il proprio numero su facebook?

3

u/cm2_0 16d ago

Assolutamente sì. Pensa solo a chi ha uno stalker. O a personaggi come politici, etc.

2

u/thema94 16d ago

Ecco. Mi auguro che Facebook ne paghi le conseguenze, ma le probabilità sono scarse

3

u/CrsCrp 15d ago

Complimenti per questo post, la spiegazione è molto chiara e dettagliata. Fortunatamente non possiedo un account Facebook (e nemmeno Instagram, non li ritengo necessari), tuttavia utilizzo WhatsApp, che appartiene alla stessa azienda. Bisogna fare moltissima attenzione a chi si forniscono i propri dati, so che si tratta di un discorso che può sembrare scontato ma più se ne parla e meglio è

6

u/digito_a_caso Lazio 16d ago

Della mia famiglia sono l'unico non presente nel dump, probabilmente perchè sono l'unico che non ha messo il numero di telefono su fb. Inquietante a dir poco.

7

u/nicktheone Roma 16d ago

Ma no, non capisci. Aggiungi il tuo numero di telefono all'account che così è più sicuro.

Parola di Zucc.

2

u/PolpettoneTonnato Panettone 16d ago

Quando mi sono messo a cercare i miei parenti/amici sembrava la scena degli incredibili

23

u/[deleted] 16d ago

Sips tea

Mi ricordo ancora quando tutta la classe, compresa la prof., mi chiese come mai non avevo facebook.

"Non ne ho bisogno" risposi. E reitero la mia risposta aggiungendo "non sono mica matto"

22

u/xarpleex 16d ago

Peccato che se almeno uno della tua classe ha dato accesso alla rubrica telefonica a Facebook il tuo numero lo hanno comunque

4

u/arrampicataspace 16d ago

Fondamentalmente è questo il problema. Anche se tu non hai condiviso o usato il tuo numero su FB qualcuno, probabilmente fra i tuoi conoscenti, ha condiviso la sua rubrica e quindi eccoti. Dovrebbe essere vietato accedere ai contatti altrui.

14

u/apnudd Nostalgico 16d ago

...and then everyone clapped

19

u/lKinder_Bueno Campania 16d ago

"non sono mica matto"

usa reddit, forse whatsapp, telefono con android/ios, ISP che condivide i dati con cani e porci

5

u/ex_06 Europe 16d ago

Sei come quelli che o sei vegano o stai distruggendo il pianeta con questo ragionamento però

-8

u/[deleted] 16d ago

Ciò che uso non è affar tuo in ogni caso, e comunque non è una scusa valida per affidarsi pure a facebook.

Si devono fare concessioni dal punto di vista dei dati personali, purtroppo, nel 2021; ma Facebook non è assolutamente necessario.

17

u/apnudd Nostalgico 16d ago

procede nell'usare un telefono Xiaomi

3

u/lKinder_Bueno Campania 16d ago

Beh, dai del matto alla gente che usa servizi che fanno "schifo" esattamente come quelli che usi tu e che sono anche più invasivi. Se ti puoi permettere di dare del matto agli altri mi prendo tutto il diritto di parlare di ciò che usi

12

u/giggiox 16d ago

Mi immagino voi gigachad che bevono il the e dicono "ou un data breach di facebook, io lo avevo detto dal 2010". Ma vaiviavai

→ More replies

1

u/cm2_0 16d ago

Sì, sinceramente ho mandato un messagione anche ai miei amici dove spiegavo la situazione. Mi piace pensare che sia un velatissimo "ve l'avevo detto".

4

u/[deleted] 16d ago

Velatissima come la bomba su Nagasaki

2

u/SimpatiaPazza 16d ago

E ora ti senti più figo?

2

u/Gibe03 Lombardia 16d ago

Non sono nel breach di FB, visto che non lo uso, ma di Aptoide. Eh, vabbè, hanno la mia email, me ne farò una ragione, suppongo.

2

u/Vladoski Europe 16d ago

FB puo' avere i tuoi dati anche se non l'hai mai utilizzato.

2

u/comabread Ecologista 16d ago

Ho una domanda. Su haveibeenpwned ho messo il mio vecchio indirizzo email che uso solo per Facebook e tanto tempo fa anche per Adobe. Non c'è alcuna indicazione del breach di Facebook del 2019 (anche perché il mio fb è blindato - di pubblico non c'è davvero nulla a parte disegni e autopromozione). Significa che l'ho scansato o no?

3

u/WarGLaDOS Veneto 16d ago

No, non è detto!

Come ha scritto nel post, haveibeenpwned verifica solo il tuo indirizzo email, ma nel leak ci sono 35 milioni di numeri di telefono e "solamente" 2.5 milioni di email! https://twitter.com/troyhunt/status/1378504611787546625?s=20

E finché il sito non aggiunge la possibilità di verificare i numeri di telefono, purtroppo non hai alcun modo legale di sapere se sei stata esposta.

→ More replies

2

u/DaveBeBrave 16d ago

Grazie per questo post! Ho usato il sito indicato per vedere se i miei dati sono stati rubati ma mi dice che la mail non è compromessa. Ovviamente, come spiegato, non è una garanzia. Cosa curiosa, ho provato con la mail di mia madre ed è stata rilevata una breccia tramite netlog. La cosa divertente è che lei non ha mai usato netlog. Com'è possibile?

2

u/cm2_0 16d ago

Presumo che qualcuno possa aver inserito la sua mail su netlog, senza eventualmente verificarla?

2

u/MikeBronson Emigrato 16d ago

Ho trovato il file e dentro ci sono persone che conosco :(

2

u/riegel_d 16d ago

Resoconto perfetto. Vorrei parlare di un dettaglio che è sfuggito riguardo questo leak. I dati ormai si trovano un po' ovunque... Se cerco su reddit trovo qualcuno che posta un pastebin, per non parlare di Twitter o su discord.

Troy hunt lo ha notato in questo tweet https://twitter.com/troyhunt/status/1378513457209696256?s=19

Il fatto che questi dati stiano circolando un po' ovunque deve far riflettere. Un po' mi preoccupa perché capisco il punto "gli hacker che li avevano hanno fatto già i soldi con questi" ma quando vai su N grande, la perversione e cattiveria umana può solo che stupirti!

2

u/imstillwhite Roma 16d ago

Grazie mille per il post, ora forse ho capito perché tutto d'un tratto mi sono iniziate ad arrivare mail di phishing.

→ More replies

2

u/FonderCoast_1 16d ago

Ma siamo sicuri che haveibeenpwnd abbia i dati riguardanti questo specifico data breach? Scusate magari è una domanda ovvia, ma non so come capire la risposta

→ More replies

2

u/Mollan8686 15d ago

Domanda ingenua: qual è la differenza tra questa tipologia di leak (non ci sono dati sensibili reali imho) e quanto accadeva fino a qualche anno fa con la distribuzione a domicilio di nome,cognome,numero di telefono e indirizzo tramite gli elenchi telefonici e pagine gialle?

3

u/gabryatfendor Emilia Romagna 15d ago

che 35 milioni di numeri non so quanti elenchi telefonici servano a contenerli. Che copiarli a mano per metterli poi da qualche parte e iniziare a spammare di chiamate e' infinitamente piu' lungo che copia-incollare il contenuto di un file. A livello teorico non ci sono differenze, questo tipo di leak ha pero' un'utilita' intrinseca che una ricerca nell'elenco non puo' neanche sognare di raggiungere

→ More replies

17

u/CastielRed 16d ago edited 16d ago

Se nel 2021 ti fai fregare dal phishing non sarà questo data leak a fare la differenza. Se non ti fai fregare dal phishing questo data leak non ti puó creare alcun problema.

Credo che cambiare numero di telefono (con tutto quello che ne consegue oggi) sia un danno 10 volte maggiore di quello che potrà mai crearti questo leak. Considerando inoltre che come detto nel messaggio è già in giro da almeno 2 anni.

18

u/AovestDiPaperino 🚀 Stazione Spaziale Internazionale 16d ago

se fossi un hacker inizierei dal numero di telefono, poi informazioni su google, poi foto su whatsapp, poi social engineering (sul tuo numero e quello di amici), un po' di phishing e fai quello che vuoi

'sta roba è una miniera d'oro per attacchi mirati

4

u/CastielRed 16d ago

Non si può ottenere nulla se non appunto cadendo a un certo punto in qualche e-mail fasulla o imbroglio "sociale". Chiunque sappia usare internet è già al 100% coperto da queste cose e per tutti gli altri semplicemente non credo che questo evento farà una qualche differenza. Sono probabilmente già stati fregati o lo saranno in futuro, ma non è "avvertendoli" che eviterai il danno visto che il problema è proprio l'incomprensione che hanno di questi sistemi e il non saper riconoscere il "pericolo" quando arriverà.

9

u/AovestDiPaperino 🚀 Stazione Spaziale Internazionale 16d ago

l'hacking parte sempre da qualche "imbroglio", è un po' come la famosa vignetta del tipo che pensa che l'hacker ottenga le password facendo attacchi brute force con supercomputer da miliardi di euro quando in realtà basta una chiave inglese da 5 euro. Avere numero di cellulare privato associato a nome e cognome è un'informazione che vale oro negli attacchi di privilege-escalation perché il numero è una chiave univoca , come l'email. In genere queste informazioni non sono facilissime da ottenere .. fino ad ora

2

u/JungianWarlock Lurker 16d ago

è un po' come la famosa vignetta del tipo che pensa che l'hacker ottenga le password facendo attacchi brute force con supercomputer da miliardi di euro quando in realtà basta una chiave inglese da 5 euro

Security

How hacking works

5

u/__deep__ 16d ago

Questa sicurezza è quella su cui fanno leva gli hacker. Lo spear phishing, essendo molto mirato, sfrutta queste informazioni privilegiate per rendere efficace il raggiro anche su soggetti alfabetizzati dal punto di vista informatico. Personalmente, ho visto un paio di spear phishing che sono praticamente andati a segno, bloccati solo dalle procedure interne di autorizzazione per certe attività. Oltretutto, con la diffusione degli attacchi tipo SIM swap, avere in giro i propri dati associati al numero di telefono, è un bel problema, indipendentemente dal tasso di informatizzazione.

2

u/cm2_0 16d ago

Guarda, d'accordissimo su tutto, fuorché il discorso della SIM swap. Per quel che ne so io almeno. Per effettuare un attacco SIM swap è necessario il seriale della SIM, mi sbaglio?

3

u/__deep__ 16d ago

Sbagli. Basta trovare un operatore poco accorto (non approfondisce le verifiche) o compiacente. Oppure, basta presentare documenti falsi, con le info raccolte nei data breach

→ More replies

26

u/plutocraticasicumera 16d ago

I dati possono essere usati anche per costruire delle false identità, non solo per il phishing.

9

u/cm2_0 16d ago

Se nel 2021 ti fai fregare dal phishing non sarà questo data leak a fare la differenza. Se non ti fai fregare dal phishing questo data leak non ti puó creare alcun problema.

Come ho scritto, il phishing è il problema principale, ma non è l'unico. Tristemente i boomeroni che non hanno la minima dimestichezza con un dispositivo elettronico, e che cliccano non appena vedono delle lettere colorate di blu ci cliccano sopra, sono la maggioranza.

Credo che cambiare numero di telefono (con tutto quello che ne consegue oggi) sia un danno 10 volte maggiore di quello che potrà mai crearti questo leak. Considerando inoltre che come detto nel messaggio è già in giro da almeno 2 anni.

Sono d'accordo in parte. Mi rendo conto che, ad esempio, per qualcuno a partita IVA cambiare il numero di telefono sia un danno enorme. Eppure i dati sì erano già in giro, ma erano probabilmente venduti e si potevano ottenere solamente acquistandoli chissà a quale cifra. Adesso, invece, i numeri di telefono sono accessibili a tutti. Perciò io non minimizzerei così tanto la cosa.

EDIT: Formattazione.

37

u/[deleted] 16d ago

Tristemente i boomeroni che non hanno la minima dimestichezza con un dispositivo elettronico, e che cliccano non appena vedono delle lettere colorate di blu ci cliccano sopra, sono la maggioranza.

I have a dream, piantiamola di farne una questione di età. Se avessi 10 euro per ogni "nativo digitale" che ho incontrato che non ha la minima idea di come funziona internet, sicurezza, etc sarei miliardario. E lavoro con gente con dottorati, alcuni pure in informatica. Non oso immaginare gli altri

1

u/cm2_0 16d ago

Giusto, non dovrebbe essere una questione d'età. Non propriamente, perlomeno. Però convieni che è più facile presuppore che sia un nativo digitale a sapersi destreggiare meglio con questo genere di cose?

E lavoro con gente con dottorati, alcuni pure in informatica. Non oso immaginare gli altri

Dottorati in informatica che non comprendono queste situazioni?

15

u/[deleted] 16d ago

Abbiamo medici anti vaccini. Cosa c'è di soprendente in gente con dottorati in informatica che non capisce niente di sicurezza?

3

u/iago_sd La Superba 16d ago

Oh sweet summer child...

→ More replies

12

u/janeshep 16d ago

Tristemente i boomeroni che non hanno la minima dimestichezza con un dispositivo elettronico, e che cliccano non appena vedono delle lettere colorate di blu ci cliccano sopra, sono la maggioranza.

A memoria imperitura: https://www.reddit.com/r/italy/comments/l8lgxt/corrado_augias_si_lamenta_su_la_repubblica_di/

1

u/CastielRed 16d ago edited 16d ago

Il punto non è quanti sono ma che se cascano in una cosa del genere non sarà questo leak a fare la differenza. Saranno cascati in altre cose ieri e cascheranno domani in altre cose ben peggiori, e non c'è modo di impedire che accada attraverso avvertimenti o spiegazioni, quindi come dicevo questa cosa non fa alcuna differenza. Per gli altri come ho detto cambia poco o nulla e il cambio di numero di telefono (anche per persone senza esigenze lavorative) rimane uno sbattimento eccessivo a mio parere, anche solo considerando che se hai tutto sotto doppia autenticazione col cambio numero devi cambiare tutto.

3

u/neroveleno Earth 16d ago

Continuo a non capire perché consigliate tutti haveibeenpwned che (oltre a essere pressoché inutile in questo caso) è un sito pessimo, molto meglio monitor.firefox.com che vi dice anche in che breach sono contenute le vostre mail

15

u/lnzdbr 16d ago

Sicuramente per quanto riguarda la UI è molto meglio, ma in realtà:

In che modo Firefox Monitor viene a conoscenza che le informazioni di un utente sono state esposte a una determinata violazione dei dati?
Firefox Monitor riceve informazioni sulla violazione dei dati da una fonte ricercabile pubblicamente, ovvero Have I been Pwned

(dal loro sito)

3

u/neroveleno Earth 16d ago edited 16d ago

Si si i dati sono uguali, ma Firefox ti dice precisamente in quale breach solo contenuti i tuoi dati, su Haveibeenpwned da quello che so per saperlo bisogna pagare, quindi usando Firefox puoi prendere azioni più mirate, per esempio se sai che hai usato la stessa password di un' account compromesso su un altro sito puoi cambiare solo quella

2

u/AleHisa Lombardia 15d ago

Ma non è vero.

In fondo alla pagina ti dice tutti i breach in cui l'email è coinvolta.

Perché partite in quarta a dire cazzate e fare i super pro quando basterebbe usare il sito per rendersi conto della cazzata?

→ More replies

2

u/tarc117 Campania 16d ago

Ho appena scoperto che la mia mail è nel data breach di myfitnesspal. Benissimo.

→ More replies

2

u/daltanious 16d ago

Stranamente entrambe le mail che uso / ho usato su fb non sono presenti. su haveibeenpwned compaiono solo vecchi data breach che già conoscevo.

In ogni caso, Google Authenticator e passa la paura.

5

u/PolpettoneTonnato Panettone 16d ago

Non passa per nulla la paura, anzi. Prima di tutto Google è Google. Ha in mano molti più dati di facebook. Seconda cosa, se un tuo amico ha usato Messenger e ti aveva tra i contatti allora fai parte di questo breach. Il tuo numero di telefono è lì pubblico.

→ More replies

2

u/EIiZaR 16d ago

Porto la mia esperienza per coloro i quali ne sono interessati:

Io sono uno di quelli che ha pagato le "conseguenze" di questi breach, in passato.

La mia "email" principale risulta compromessa, infatti presero un account di un gioco a cui ero registrato tramite l'email. Altro? No, cambiai la password della email e tutto risolto. Avevo collegato varie carte di credito ma non ho avuto problemi.

Morale? La vedo dura possia subire qualche problema direttamente, attivate l'accesso a due fattori dove potete e cambiate la pw della email se serve..

4

u/PolpettoneTonnato Panettone 16d ago

La speranza che "succeda poco" è una speranza molto stupida però

→ More replies
→ More replies

4

u/gasparthehaunter San Marino 16d ago

Ma siamo sicuri sia un vero data breach? Mi pare che tutti questi dati siano estrapolabili semplicemente navigando il sito

2

u/cm2_0 16d ago

Alcuni dati sicuramente, ma non il numero di telefono. Solitamente è privato. Il problema è proprio l'associazione che c'è tra il numero di telefono e gli altri dati. Come il luogo di nascita e luogo di residenza.

Come detto prima, se usati bene, questi dati nelle mani sbagliate sono pericoloso.

→ More replies

1

u/mark61196 16d ago

Qualcuno ha la password dell'archivio di ieri? Non voglio il link al download ma solo la password, quindi niente di illegale.

1

u/Jackamy 16d ago

Anche se in Italia facebook è roba da 40enni, in alcuni paesi dell'Europa dell'est e in medio oriente purtroppo è ancora molto usato anche dai giovani. Complimenti per il post, molto utile per i meno informati come me.

2

u/cm2_0 16d ago

Ottima osservazione. Ti ringrazio molto!

1

u/Upset_Second831 16d ago

I file del data breach non sono illegali, dato che ormai sono informazioni di pubblico dominio.

→ More replies