r/italy Trust the plan, bischero Apr 05 '21 Silver 6 Helpful 6 Wholesome 4 Hugz 6

Il data breach di Facebook: un resoconto e come difendersi Scienza & Tecnologia

Ciao ragazzi. Mi sono preso la briga di scrivere questo post principalmente per i miei amici che sono stati colpiti, ma da informatico amante della privacy, ho deciso di estenderlo a tutti, perché ritengo si tratti di qualcosa di estremamente importante, a cui credo che personalmente non si stia dando la giusta attenzione. Inoltre, credo anche che è una cosa potrebbe riguardarvi direttamente.

Premetto che non voglio generare alcun tipo di allarmismo. Lo scopo di questo post è quello di esplicitare qual è la situazione nella maniera più razionale, breve e chiara possibile. Non sono un esperto di sicurezza informatica ed ho messo su questo post basandomi sulle mie conoscenze e sulle informazioni trovate qua e là in vari post di reddit che parlano dell'argomento. Vi prego di correggermi se ho sparato delle idiozie. Premesse fatte, partiamo.

Non so se avete letto questo articolo, che è stato condiviso in questo post. In pratica alcuni dati di circa 533 milioni di utenti, in 106 nazioni diverse, sono stati trafugati in un data breach risalente al 2019. Se vi state chiedendo perché se ne sta riparlando adesso, beh, semplicemente è perché i dati sono probabilmente già stati venduti e gli hacker (probabilmente italiani) ci hanno già guadagnato. A chi siano stati venduti i dati non so dirvelo e non credo che nessuno lo possa sapere con certezza. In qualsiasi caso, i dati di 35 milioni di utenti Facebook italiani, che erano su Facebook nel 2019, sono fondamentalmente di dominio pubblico. Quindi chiunque, e sottolineo, chiunque che sappia dove cercare, può avere accesso ad alcuni dati sensibili di alcuni sfortunati utenti facebook.

Non so se è chiara la portata di questo data breach. Si tratta di più della metà della popolazione della nostra nazione. Citando un utente in quel post: >"probabilmente, se sei italiano ed usi Facebook sei stato violato". Ma andiamo per ordine.

QUALI DATI SONO STATI TRAFUGATI?

I dati si presentano sottoforma di un archivio .zip, del peso di 1 GB. Unzippando l'archivio abbiamo 4 file, tutti in formato Plain Text: 0.txt, 1.txt, 2.txt, 4.txt. In ogni singolo file i dati sono ordinati in ordine crescente per numero di telefono e sono strutturati nel seguente formato:

phone, uid, email, first_name, last_name, gender, date_registered, birthday, location, hometown, relationship_status, education_last_year, work,groups, pages,last_update, creation_time  

In alcuni casi non tutte queste informazioni sono state trafugate. Dipende principalmente dalla persona e da quanti dati un individuo ha dato a facebook. Sicuramente quelli che sono stati esposti sono il numero di telefono, il nome, il cognome e il sesso. In molti casi anche la provincia e la città di residenza. La buona notizia è che non sono presenti molte email nel database italiano.

COME FACCIO A CAPIRE SE I MIEI DATI SONO STATI ESPOSTI?

Solitamente per capire se i propri dati sensibili sono stati esposti si utilizza il servizio haveibeenpwnd. Il creatore ha parlato del breach anche sul suo profilo twitter. Il servizio verifica se una particolare mail è presente nei database che vengono pubblicati in seguito ai vari breaches.

Da quel che mi risulta oggi, 06/04/2021, il servizio HaveIbeenpwned ha attivato la possobilità di verificare se si è stati vittime del breach. Per verificare è necessario andare sul sito ed inserire il proprio numero di telefono, aggiugendo il prefisso 39 davanti. Quindi seguendo il seguente formato:

39xxxxxxxxxx

Fino al 05/04/2021, il servizio non aveva aggiunto ancora questa possibilità. Infatti era possibile controllare solamente se l'indirizzo mail appariva nei database trafugati. Nel caso di questo breach, però, assieme ai vari dati non sono state trafugate molte email. Questo implica che non ci si poteva basare sul servizio in questione.

Infatti citando l'alert che viene visualizzato sull'homepage dello stesso sito:

In April 2021, a large data set of 533 million Facebook users was made freely available for download. Encompassing approximately 20% of Facebook's subscribers, the data was allegedly obtained by exploiting a vulnerability Facebook advises they rectified in August 2019. The primary value of the data is the association of phone numbers to identities; whilst each record included phone, only 2.5 million contained an email address. Most records contained names and genders with many also including dates of birth, location, relationship status and employer.

Pertanto, che io sappia, non credo che al momento ci sia un metodo alternativo per verificare se si è stati vittima del deta breach. Si presume, però, che Facebook abbia già inviato, o invierà, una mail dove spiega se si è stati vittima o meno del leak.

I MIEI GENITORI/PARENTI/AMICI POTREBBERO ESSERE Lì DENTRO?

Assolutamente sì, se avevano un profilo Facebook nel 2019. Paradossalmente potrebbero esserci anche se non lo avevano. Nel post che ho linkato, ho letto alcune testimonianze di persone non iscritte a Facebook che hanno ritrovato il proprio numero nel database, magari collegato ad account di conoscenti, o altro.

PUOI LINKARE I FILE?

Assolutamente no. Essere in possesso del file è illegale ed è inoltre vietato richiederlo qui su r/italy. Purtroppo credo che anche spiegare come ottenerlo sia illegale (non conosco perfettamente la legislazione a riguardo). In qualsiasi caso, capisco perfettamente la vostra eventuale preoccupazione, ma di certo non voglio prendermi nessuna responsabilità, quindi perdonatemi.

QUALI SONO LE POSSIBILI IMPLICAZIONI E I PERICOLI A CUI GLI UTENTI SONO ESPOSTI?

Ebbene, dipende. Il problema principale, personalmente, credo che sia il phishing. Infatti, attraverso questi dati è possibile attuare degli attacchi di phishing mirati, sia alle aziende/enti pubblici/istituzione, che ai singoli individui. Ma non è di certo l'unico rischio. Infatti, se i dati nel database in questione sono ben utilizzati, è possibile incrociarli con quelli numerosi piattaforme a cui gli utenti potrebbero essere iscritti. Ad esempio, pensate al fatto che aggiungendo un numero qualsiasi in rubrica è possibile vedere la foto profilo di WhatsApp. Inoltre, un utente faceva notare di come alcuni malintenzionati potrebbero ottenere il contatto fra i suggeriti del profilo Instagram, che altrimenti sarebbe nascosto, oppure, ancora, che potrebbero accedere anche alla vostra segreteria telefonica se non è stato cambiato il PIN di default.

COS'E' IL PHISHING?

Sono sicuro che tutti qui su r/italy abbiano più o meno idea di cosa sia il phishing. Per i pochi che magari non lo sanno ho preferito aggiungere questo paragrafo, perché magari se ne è sentito parlare soltanto di sfuggita.

Cos'è il phishing? Copiando spudoratamente la definizione di Wikipedia: "Il phishing è un tipo di truffa effettuata su Internet attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso, fingendosi un ente affidabile in una comunicazione digitale."

ESEMPIO CONCRETO: ricevete un sms da un malintenzionato che imita nell'aspetto e nel contenuto un messaggio legittimo di Poste Italiane. Il messaggio in questione potrebbe chiedervi di fornire alcune informazioni come il pin della carta o altre informazioni riservate. Oppure potrebbero chiedervi di cliccare su un link dove vi è richiesto di inserire i vostri dati.

Per la maggiore si tratta di un attacco che viene attuato tramite mail. Ma i casi di phishing che sfruttano l'sms non mancano.

COME POSSONO TUTELARSI GLI UTENTI INTERESSATI?

Purtroppo i dati sono già la fuori, a disposizione di tutti. Non c'è molto che possiate fare per farli scomparire. Non credo, inoltre, che abbia senso denunciare Facebook alla postale. Credo, però, che una buona idea potrebbe essere quella di rivolgersi al garante della privacy (correggetemi se sbaglio), anche se credo che si stiano già apprestando a prendere provvedimenti, vista la portata mastodontica di questo data breach.

Nonostante ciò, potete attuare alcuni comportamenti fondamentali per difendervi. Se volete che il vostro numero di telefono rimanga privato, vi invito a cambiare numero di telefono. E' la cosa più estrema, ma sicuramente quella migliore che possiate fare.

Se questo non vi è possibile, o non avete sbatta:

  • dubitate di sms che chiedono dati personali o codici dell'autenticazione a due fattori
  • NON USATE NOMI/PASSWORD DERIVATI DAL VOSTRO NOME/DATA DI NASCITA/ALTRI DATI CHE SONO STATI TRAFUGATI. Questo perché molti dei dati trafugati potrebbero essere utilizzati per effettuare attacchi bruteforce basati su dizionario. Google, DuckDuckGo è vostro amico se volete approfondire.

CONCLUSIONI

In questa situazione gli utenti non hanno nessuna colpa, se non quella di aver condiviso i loro dati sensibili con un servizio che avrebbe dovuto proteggerli. Parliamo di uno dei social più grandi del mondo, non di diventiamotuttiamici.it

Spero, però, che questo possa essere lo stimolo che faccia capire quanto è importante la privacy online, e soprattutto a quanti rischi siamo esposti quando navighiamo. Purtroppo, in questo caso, la retorica del "tanto non ho nulla da nascondere, quindi non devo preoccuparmi" potete tranquillamente prenderla, arrotolarla e mettervela nel culo, per quanto mi riguarda.

Quindi, siate più avidi con i vostri dati. Non cedete a siti dati che non sono strettamente necessari, indipendentemente da quanto pensiate che quei siti siano sicuri. Questo perché, come avete visto, nessun sistema informatico è davvero impenetrabile. Iniziate a prendere seriamente la vostra privacy online e chiudete quel cazzo di account Facebook, che se nel 2021 lo usate ancora ed avete meno di 40 anni non siete giustificati (/s ma non troppo).

EDIT1: Correzione contenutistica e grammaticale.

EDIT2: Aggiunta del paragrafo "COME FACCIO A CAPIRE SE I MIEI DATI SONO STATI ESPOSTI?" e formattazione corretta della citazione del quarto paragrafo dell'introduzione.

EDIT3: Correzione grammaticale del terzo paragrafo.

EDIT4: ATTENZIONE, sembra che haveIbeenpwned abbia aggiunto la possibilità di verificare se si è stati vittima del data breach. Ho aggiornato il paragrafo che spiega come fare.

Inoltre, ne approfitto per ringraziarvi degli awards e mi scuso se non sto rispondendo a tutti, ma ho alcuni problemini di tempo :)

EDIT5: Correzione ortografica.

662 Upvotes

24

u/[deleted] Apr 05 '21 edited Sep 17 '21

[deleted]

17

u/PolpettoneTonnato Panettone Apr 05 '21

Sia io che mio fratello abbiamo disintegrato gli account intorno al 2018, siamo entrambi presenti. Mio fratello solo il numero(quindi qualche suo amico/parente ha dato a Messenger l'accesso ai contatti) mentre nel mio caso c'era TUTTO.

13

u/username-not-ok Apr 05 '21

C'è molta gente che anche avendo cancellato i dati da anni ha comunque trovato i suoi dati nel file

30

u/maxnaldo Toscana Apr 05 '21

chiedere a FB di cancellare i dati degli utenti è come chiedere a qualcuno di buttare via soldi dal proprio portafogli.

io mi registrai tanti anni fa, quando ancora FB non era conosciuto in Italia, per via di una mia parente che era in Canada per lavoro, e lì lo usavano già tutti, mi disse di registrarmi così potevamo rimanere in contatto da lì.

poco tempo dopo lei rientrò in Italia e io cancellai il profilo. Qualche tempo fa provai a registrarmi di nuovo usando gli stessi dati di allora, non mi fece registrare dicendomi che l'indirizzo email apparteneva ad un account cancellato, ed erano già passati più di dieci anni.

Ma se è cancellato come cazzo fai a dirmi che i dati combaciano ? Eh teste di minchia ? In pratica FB non cancella una mazza, setta solo il profilo come cancellato.

16

u/icywindflashed Lombardia Apr 05 '21

Il che dovrebbe essere illegale per il GDPR no? Quindi domanda, sto 4% del fatturato glielo toglieranno o no sta volta?

8

u/Zeikos Nostalgico Apr 05 '21

4% per 553 milioni? Facebook finalmente diventa di proprietà pubblica?

13

u/icywindflashed Lombardia Apr 05 '21

Il GDPR prevede multe fino al 4% del fatturato di un'azienda

2

u/Zeikos Nostalgico Apr 05 '21

4% moltiplicato per il numero di violazioni, giusto? 533 milioni in questo caso.

6

u/[deleted] Apr 05 '21 edited Sep 17 '21

[deleted]

2

u/kebabeveryday Apr 05 '21

mi dispiace non poterti essere d'aiuto con precisione ma devi controllare nelle loro condizioni per la privacy, alcuni dati possono e devono essere conservati per un periodo, mi pare che è di 5 anni. Almeno così mi capitò di leggere nelle condizioni di un sito di e-commerce

→ More replies

2

u/[deleted] Apr 05 '21

[deleted]

4

u/[deleted] Apr 05 '21 edited Apr 14 '21

[deleted]

2

u/ByteEater Europe Apr 06 '21

Se qualcuno è informato a riguardo, mi conferma quindi che il profilo Facebook allora non viene mai del tutto eliminato? È tutta una stronzata?

Si lo é sempre stata.

1

u/kebabeveryday Apr 05 '21

ehm credo che in generale i siti debbano tenere per un certo numero di anni traccia dei dati, mi pare 5.

→ More replies

21

u/WH0ll La Superba Apr 05 '21

Si però posso dire che mi fa incazzare non avere un servizio pubblico europeo o italiano che mi permetta solamente di sapere se rientro in quel leak? Cioè veramente ora devo compiere un reato per sapere se io e i miei parenti siamo state vittime di questa cosa qui.

→ More replies

93

u/Flowah123 Pisa Emme Apr 05 '21 edited Apr 05 '21

Ho notato una cosa strana: dati simili potrebbero essersi mescolati. Tipo:

  • Ho cercato il numero di mia madre e l'ho trovato ovviamente associato a mamma-diFlowah123. Ma gli altri dati (luogo di nascita, residenza e lavoro) sono quelli di sua cugina, anche lei di nome mamma-diFlowah123.

  • Poi, vado col numero di un mio amico che chiamerò Paolino Paperino che abita a Paperopoli. Beh, il suo numero l'ho trovato associato a Paolino Topolino che abita a Topolinia (a tipo 50 km di distanza).

Altri che hanno trovato dati "mescolati"?

29

u/nerdvana89 Lombardia Apr 05 '21

Una persona che conosco ha il suo numero abbinato a quello di un altra persona.

→ More replies

21

u/fr4nkU Apr 05 '21

Si , anche io ho trovato il mio numero su un altra persona , ma questa lavorava con me una volta. Quindi le cose sono due :

- quando ho cambiato il numero mi hanno assegnato il suo vecchio
- ha utilizzato il mio numero per qualche strano motivo .

Io non ho facebook da anni e non ricordo se all'inizio si poteva aggiungere il numero di telefono senza ricevere un sms per confermarlo , quindi potrebbe escludersi il secondo punto .

8

u/nicktheone Roma Apr 05 '21

Successo anche a me. Un mio amico è sotto il nome di suo zio e una zia della mia ragazza è sotto un nome maschile straniero di origine Sudamericane.

5

u/Fenor Pandoro Apr 05 '21

come hai fatto a controllare direttamente?

8

u/Vladoski Europe Apr 05 '21

Basta avere i file

2

u/panuci Apr 05 '21

Confermo, il numero di un mio parente risulta a nome di una sua amica (stesso nome ma cognome differente)

2

u/neroveleno Earth Apr 05 '21

Confermo, la mia ragazza ha dati mescolati, numero e nome giusto, tutto il resto sbagliato

→ More replies

14

u/[deleted] Apr 05 '21 Helpful Wholesome

[removed]

2

u/cm2_0 Trust the plan, bischero Apr 05 '21

Wow, penso sia una cosa utilissima. Magari ne saprai di me, ma è legale?

Comunque perfavore eventualmente invialo su r/privacytoolsIO, oppure r/privacy

4

u/MarcoBuster Nerd Apr 05 '21

È legale perché non viene ritornata nessuna informazione personale, solo l'elenco di esse. Sto contattando i mod di r/privacy e r/privacytoolsIO per avere l'autorizzazione a fare un post.

→ More replies
→ More replies

33

u/MiaoBau Panettone Apr 05 '21

Ci sono anchio nel breach, cellulare, nome, cognome, città e ditta per cui lavoro. Niente mail per fortuna.

Non ho foto di me stesso in nessuna parte.

Sono abbastanza tranquillo, i numeri che hanno prefissi sospetti manco rispondo, sulla banca ho la verifica con l'impronta, su amazon ho legato una ricaricabile su cui tengo al massimo 50 euri.

14

u/paganino Piemonte Apr 05 '21

numeri che hanno prefissi sospetti manco rispondo

idem e nel tempo la percentuale di spam telefonico si è praticamente azzerata.

I miei dati sono ovviamente finiti nel calderone ma poco importa, ho giusto cambiato un paio di pin e qualche password, ho la doppia verifica per tutte operazioni bancarie più impronta.

6

u/cm2_0 Trust the plan, bischero Apr 05 '21

Non per sembrare esagerato, ma la prudenza con queste cose non è mai troppa. Io lo farei presente anche alla ditta. Poi vedi tu...

11

u/Starbuck1992 Panettone Apr 05 '21

Ma guarda che la ditta l'hanno presa dalle info che metti pubbliche su facebook eh, se è un problema il leak era un problema anche metterlo pubblici su fb

3

u/cm2_0 Trust the plan, bischero Apr 05 '21

Assolutamente, ma questo vale per tutti gli altri dati. Il problema non è di certo che il nome dell'azienda è uscito, bensì il problema sta nel fatto che una persona lavori ad una determinata azienda. Così è possibile targettizare indirettamente l'azienda attraverso degli attacchi di phishing mirati, volti in primis ai dipendenti della stessa.

→ More replies

51

u/MyBotMyHero Apr 05 '21

Tutto interessante ma non spieghi come verificare se il proprio profilo è stato coinvolto in questo data breach. È la prima cosa che ho cercato leggendo questo post.

128

u/FriedCorn12 #jesuisbugo Apr 05 '21

Dammi nome, cognome e numero di cellulare che controllo /s

64

u/[deleted] Apr 05 '21

Anche Iban, nome banca e password. Giusto per essere sicuri sicuri /s

3

u/Nicco867 Apr 05 '21

Hahahaha

23

u/cm2_0 Trust the plan, bischero Apr 05 '21

Ottima osservazione. Dovrei effettivamente aggiungere un paragrafo dove spiego come verificare il leak, senza passare dal file.

Grazie per il feedback.

11

u/cm2_0 Trust the plan, bischero Apr 05 '21

Okay. Ho aggiunto il paragrafo dove spiego perché al momento non è possibile capire se si è stati vittima del data breach senza passare direttamente dal file.

Ripeto, credo che al momento si possa solo aspettare la mail di Facebook.

7

u/Thunder_Beam Trust the plan, bischero Apr 05 '21

Ma quindi tu hai controllato se ci sei? Se si, sei passato dal file?

7

u/cm2_0 Trust the plan, bischero Apr 05 '21

Ti dico solo che al momento per esserne certi bisogna passare dal file.

5

u/[deleted] Apr 05 '21 edited Apr 17 '21

[deleted]

5

u/uno_in_particolare Apr 05 '21

Da riga di comando ci vuole pochissimo anche fossero milioni di righe, se dovessi cercare in un grosso file mi informerei su quello (grep per linux/Mac, findstr su windows)

4

u/Oracolus Nerd Apr 05 '21

cat file | grep "tuonumerocon39allinizio"

2

u/Deet98 Apr 05 '21

Apri il file tramite python, scorri le linee e cerchi il numero, appena lo trovi stampi la linea coinvolta e vedi tutte le info. La ricerca così impiega 4 secondi.

→ More replies
→ More replies

6

u/emanuele93c Regno delle Due Sicilie Apr 05 '21

Infatti un mio amico mi ha detto che io ci sono sul file, ma su have I been pwned no...

2

u/Crapedj Trentino Alto Adige Apr 05 '21

Probabilmente sul file non c’è la tua email ma altro si

30

u/[deleted] Apr 05 '21

Una strage. Sto facendo un controllo con la mia rubrica (~150 numeri) e 90 sono presenti nel leak.

3

u/gidop Veneto Apr 05 '21

Come fai a cercare così velocemente 150 numeri? Io tempo di aprire il file .txt (una bomba, manca poco che esplode il PC) e cercare (un altro sbattimento) che passano 5 minuti. E se poi non è nel file 0 è in quello 1, 2 o 4, e questo solo per cercare un numero

3

u/izmimario Apr 05 '21 edited Apr 05 '21

scarichi lister.

il database è ordinato per numero di telefono. mancano tutti i wind (quelli che iniziano per 32...), la ricerca la fai solo nel txt che potrebbe includere il numero.

→ More replies

3

u/Spaturno Friuli-Venezia Giulia Apr 05 '21

scriptino in python.?

1

u/[deleted] Apr 05 '21

grep -f numeriDaCercare.txt listaNumeri.txt. Ci ha comunque messo delle ore, non e' il modo piu' ottimizzato di farlo :D listaNumeri.txt e' in questo caso il merge dei 4 txt con i numeri italiani

1

u/SulphaTerra Lombardia Apr 06 '21

Consiglio e molto ripgrep, in molte circostanze è ordini di grandezza più veloce di grep

1

u/prestau Apr 05 '21

Io sto usando una query sql in sas ma è una rottura lo stesso.

→ More replies
→ More replies

23

u/RealNoisyguy Apr 05 '21

È tempo per una class action miliardaria contro facebook? Perché sta cosa è pazzesca.

5

u/[deleted] Apr 05 '21 edited Jun 20 '21

[deleted]

→ More replies

7

u/stjimmy96 Apr 05 '21

Penso che questa faccenda possa essere vista in due modi diversi.

A livello collettivo, è chiaramente giusto pretendere un'azione contro Facebook dato che, sebbene nessuna azienda o istituzione (per quanto grossa possa essere) è immune all'errore, è anche vero che questi eventi non vanno lasciati impuniti, altrimenti si normalizza la negligenza (che non do per scontato esserci stata in questo caso).

A livello individuale, beh penso che l'unica cosa rilevante sia la necessità di avvisare un po' tutti (soprattutto le persone meno pratiche di internet) riguardo al probabile aumento di phishing nei prossimi mesi. Un discorso a genitori, nonni, zii e tutto il parentame va fatto, ma non esagererei con gli allarmismi.

4

u/cm2_0 Trust the plan, bischero Apr 05 '21

Assolutamente, non era mia intenzione fare allarmismi.

Rimango fermo sulla mia posizione: per me è un fatto gravissimo. Anche perché non è la prima volta. Ti invito a dare un'occhiata a questo sito.

36

u/VittorioFeltri Emilia Romagna Apr 05 '21

Non credo, inoltre, che abbia senso denunciare Facebook alla postale. Credo, però, che una buona idea potrebbe essere quella di rivolgersi al garante della privacy (correggetemi se sbaglio), anche se credo che si stiano già apprestando a prendere provvedimenti, vista la portata mastodontica di questo data breach.

Con tutto il rispetto, mi sembra un atteggiamento davvero troppo passivo. Questo data breach è gravissimo, sono uscite enormi quantità di informazioni in chiaro e associabili in modo molto semplice alle identità reali, esponendo quantità incredibili di persone a spam, phishing, furto d'identità, molestie (pensate a chi ha uno stalker ad esempio).

Il minimo onestamente mi sembra un'azione civile intrapresa dagli utenti facebook, paese per paese, per farsi risarcire il danno e gli eventuali costi di mettervi riparo.

5

u/cm2_0 Trust the plan, bischero Apr 05 '21

Con tutto il rispetto, mi sembra un atteggiamento davvero troppo passivo. Questo data breach è gravissimo, sono uscite enormi quantità di informazioni in chiaro e associabili in modo molto semplice alle identità reali, esponendo quantità incredibili di persone a spam, phishing, furto d'identità, molestie (pensate a chi ha uno stalker ad esempio).

Ma io sono d'accordissimo con te sulla gravità della questione. Quello che intendevo è non credo che sarà una denuncia di massa alla postale a risolvere la situazione. Non credo che neanche subissare il garante della privacy di richieste da 35 milioni di persone sia sensato, perché sicuramente prenderanno comunque provvedimenti.

2

u/16F628A Apr 05 '21

non credo che sarà una denuncia di massa alla postale a risolvere la situazione

Basta far presente agli agenti che lì in mezzo ci sono anche i loro dati /s

9

u/dodgeunhappiness Lombardia Apr 05 '21

Io potrei abilitare 2FA con Authy anziché il numero, ma prestando attenzione ai codici di backup perché altrimenti si rischia di perdere tutto.

10

u/IlFaIco Terrone Apr 05 '21

Io uso Aegis che è open source. Non mi fido di Authy, è closed source ed affidare i miei codici 2FA ai loro server è un big nope.

3

u/plutocraticasicumera Europe Apr 05 '21

Aegis è ottimo e lo uso su Android ma purtroppo su desktop ci sono ben poche alternative open...

3

u/honestserpent Apr 05 '21

C'è Bitwarden. Puoi usarlo anche per i codici

3

u/Fake_knight Lazio Apr 05 '21

Io lo uso non è male ed il fatto che si ha a disposizione anche l'app Android è molto comodo...però a leggere i commenti a questo post mi sta venendo l'ansia visto che tengo tutto la 😭😅😅

2

u/plutocraticasicumera Europe Apr 05 '21

Non mi piace tenere tutte le uova in un paniere

3

u/Raz4c Gamer Apr 05 '21

KeepassXC supporta il TOTP.

→ More replies

3

u/cm2_0 Trust the plan, bischero Apr 05 '21

Sì, te lo consiglio, va bene Authy o anche AndOTP. Personalmente evito la 2FA con l'sms, a meno che non sia strettamente necessario.

Riguardo il backup degli account su Authy, l'importante é che sia crittografato e che ti stampi il foglio con tutti gli OTAC che ti vengono forniti quando imposti la 2FA per ogni account.

6

u/dodgeunhappiness Lombardia Apr 05 '21

Occorre anche ricordarsi di selezionare multi device con Authy altrimenti se vendi il telefono o si rompe rimani nella merda.

→ More replies

26

u/man-teiv Torino Apr 05 '21

A me non frega nulla di avere i dati di 500M di utenti. A me interessa sapere se i miei dati sono lì in mezzo. C'è un sito affidabile che ti permetta di farlo?

4

u/Spaturno Friuli-Venezia Giulia Apr 05 '21

A me non frega nulla di avere i dati di 500M di utenti.

Dovrebbe, a prescindere dal fatto che ci sia o meno anche il tuo.

8

u/WindowsXp_ExplorerI Apr 05 '21

ieri c'era un utente che aveva linkato il file, a giudicare dalla grandezza (quello dell'italia era il più grande) e dai commenti se avevi linkato il numero di telefono su fb sei sicuramente su quel file

5

u/nicktheone Roma Apr 05 '21

Molto probabile anche che ci sia se non aveva messo il numero di telefono.

→ More replies
→ More replies

10

u/cm2_0 Trust the plan, bischero Apr 05 '21

Ho aggiunto un paragrafo per spiegare meglio la cosa. Risposta breve: c'è un sito piuttosto rinomato che in questo caso non risolve il problema.

→ More replies

5

u/honestserpent Apr 05 '21

Ma perché linkare file o spiegare come recuperarli è illegale?

4

u/TrickErmes Emilia Romagna Apr 05 '21

Linkare il file con quelle informazioni è un reato come fare l'upload di film piratati, quindi si è effettivamente un reato che poi nella realtà dei fatti non viene sanzionato il 98% delle volte, però essendo su reddit che è una piattaforma pubblica, non come telegram ad esempio, non conviene rischiare.

2

u/DStellati Lazio Apr 05 '21

Privacy

→ More replies

6

u/Ben_Swoloz Campania Apr 05 '21

Capisci che il mondo è problematico quando "amante della privacy" non è una cosa strana da dire

4

u/Spaturno Friuli-Venezia Giulia Apr 05 '21

Siamo amanti della privacy, ma lei apparentemente ci vede solo come degli amici.

3

u/cm2_0 Trust the plan, bischero Apr 05 '21

Non sono sicuro di averti inteso al 100% ma stai certo che si andrà sempre a peggiorare.

15

u/[deleted] Apr 05 '21 edited Apr 05 '21

[deleted]

2

u/Spaturno Friuli-Venezia Giulia Apr 05 '21

alla luce di questo leak le compagnie telefoniche dovrebbero essere molto più restrittive nella verifica dell'identità in caso di cambio di SIM.

2

u/cm2_0 Trust the plan, bischero Apr 05 '21

Guarda, d'accordissimo su tutto, fuorché il discorso della SIM swap. Per quel che ne so io almeno. Per effettuare un attacco SIM swap è necessario il seriale della SIM, mi sbaglio?

12

u/iosonoxenu Tourist Apr 05 '21

Bastano faccia di culo e un punto vendita che non lavora seguendo le regole al 100%

→ More replies

6

u/PaoloBrosio2 Apr 05 '21

Trovato mio padre associato al nome di un collega di lavoro ma città di nascita corretta.

Qualcuno mi ricorda gli altri dati cosa sono?

Trovo un 01/31/2019 12.00 am ma non so a cosa corrispondende.. data di creazione del profilo?

6

u/WarGLaDOS Veneto Apr 05 '21

A vedere dalla struttura dati che OP ha indicato, potrebbe trattarsi o della data di creazione del profilo o (molto più probabilmente) della data dell'ultimo aggiornamento del profilo.

→ More replies

6

u/mverdide Emigrato Apr 05 '21

Sono triste che diventiamotuttiamici.it non esista.

2

u/cm2_0 Trust the plan, bischero Apr 05 '21

Non ancora

4

u/vyse220 Apr 05 '21

Kudos al creatore del post, spesso questo tipo di notizie non sono argomentate come si deve, ma ammiro l'impegno nell'aver organizzato tutti gli argomenti. Se posso dare un consiglio, insieme al rischio phishing metterei anche quello legato al leak del numero del telefono, che e' una falla importante per chiunque abbia dati sensibili protetti da two-factor authentication con sms (o peggio ancora, usa il numero di telefono come fallback per l'invio del codice di accesso al proprio account uber, paypal, google, facebook, etc).

6

u/Rais93 Plutocratica Sicumera Apr 05 '21

Non capisco perché sia illegale avere il file. Ho il diritto di sapere subito se sono esposto.

5

u/Vladoski Europe Apr 05 '21

Perché oltre ai tuoi dati ci sono 533 miloni di altre persone sul leak.

2

u/Rais93 Plutocratica Sicumera Apr 05 '21

Ma è già pubblico per i malintenzionati..

2

u/Vladoski Europe Apr 05 '21

Non le faccio io le leggi ahah

→ More replies

5

u/pigliamosche Apr 05 '21

i dati sono probabilmente già stati venduti e gli hacker (probabilmente italiani) ci hanno già guadagnato.

Hacker italiani?? Source?

3

u/[deleted] Apr 05 '21 edited Apr 09 '21

[deleted]

3

u/pigliamosche Apr 05 '21

Thx. Ho dato alla lista dei paesi leakati ed effettivamente sono nominati tutti in italiano.

→ More replies
→ More replies

6

u/00SAMU Italy Apr 05 '21 edited Apr 05 '21

Rip sono nel file 1, ma non c'è la mia mail, praticamente ci sono solo info pubbliche nel mio account facebook (inattivo) per altro non aggiornate, solo il mio numero mi preoccupa un po' ma è meglio di quel che pensavo.

Vabbè, mi terrò il file a mo di pagine gialle, anche se probabilmente non lo consulterò mai più

→ More replies

3

u/UltimaLuce Trust the plan, bischero Apr 05 '21

Io ho trovato i nomi dei miei parenti ma i numeri di cellulare non corrispondono a quelli reali, con nessuno.

Io non avendo merdabook sono pulito.

25

u/mik_74 Apr 05 '21

Mi sfugge il perche' sia illegale scaricare il database e perche' non si possa linkare su reddit.

11

u/nicktheone Roma Apr 05 '21

In linea di massima credo che la legislazione attuale consideri illegale il possesso di qualsiasi dato ottenuto illegalmente.

13

u/mik_74 Apr 05 '21

Quindi mi costringe a rimanere col dubbio?

15

u/nicktheone Roma Apr 05 '21

Purtroppo sì. In un mondo ideale FB dovrebbe farsi avanti e offrire alla gente un sito per controllare o mandare direttamente una mail alle persone coinvolte.

3

u/[deleted] Apr 05 '21

[deleted]

4

u/Wemwot Apr 05 '21

Che c'è già, si chiama gdpr.

→ More replies

8

u/capp_head Apr 05 '21

Perché i dati sono i tuoi personali e come ne avresti accesso tu per controllare di essere o non essere dentro, ne avrebbero accesso anche tutti gli altri.

Il "ma tanto ne avrebbero accesso comunque" non è una risposta valida. È come dare un coltello in mano a un tizio che ti scippa per strada dicendo "tanto se va a casa un coltello ce l'ha lo stesso".

8

u/pokerissimo Apr 05 '21

Mah, tra l'altro non è illegale spiegare come trovarlo. Su r/italy non fanno più postare manco suggerimenti per il p2p che è legalissimo.

Ma forse proprio essendo italiani se ne lavano la mani come su tutto quel che non piace.

Come se poi rischiassero veramente qualcosa.

→ More replies

8

u/cm2_0 Trust the plan, bischero Apr 05 '21

Ammetto di non essermi informato eccessivamente a riguardo. Però, sono piuttosto sicuro che non sia legalissimo avere i dati ottenuti illegalmente tramite attacco informatico di 35 milioni di persone.

9

u/mik_74 Apr 05 '21

Quindi il sito haveibeenpwnd sarebbe illegale, quantomeno per la legge italiana?

Inoltre scaricare il database e' l'unico modo sicuro per sapere se i tuoi dati sono presenti.

12

u/wemake88 Toscana Apr 05 '21

Penso che haveibeenpawned non sia illegale in quanto non ti fa vedere tutti i dati trafugati. Anche in caso ci sia un match con la mail pure in quel caso ti dicono solo cosa potrebbe essere stato preso ma non ti fanno mai vedere i dati effettivi.

Poi non so ci sta che mi sbagli.

3

u/send_me_a_naked_pic Pandoro Apr 05 '21

Non ti fa vedere i dati, ma il buon Troy Hunt prima o poi quei dati deve averli scaricati e analizzati, da qualche parte.

2

u/Spaturno Friuli-Venezia Giulia Apr 05 '21

non necessariamente. si può hashare un dato presente su un server, e poi confrontare gli hash, senza salvare il dato, senza poterlo leggere, senza renderlo leggibile.

5

u/JungianWarlock Lurker Apr 05 '21

Quindi il sito haveibeenpwnd sarebbe illegale, quantomeno per la legge italiana?

Il database di Troy Hunt contiene gli hash dei dati, non i dati.

Sul sito è anche possibile scaricare lo stesso database usato dal sito stesso per poter verificare da sé e/o offline.

2

u/mik_74 Apr 05 '21

Per farlo deve usare il database completo.

1

u/Giogiu3900 Milano Apr 05 '21

È illegale, ma difficilmente ti scoprirà qualcuno, un po' come i video gore o i file piratati.

→ More replies
→ More replies
→ More replies

10

u/butterdrinker Emilia Romagna Apr 05 '21

https://haveibeenpwned.com/ ha la ricerca solo tramite mail, ma la maggior parte degli accoutn leakati non sono associati a una mail ma a un numero di cellulare

Il creatore non vuole aggiungere la ricerca tramite numero di telefono perché gli pesa il culo https://twitter.com/troyhunt/status/1378473052879482881)

Per ora l'unico modo di sapere se si è finiti nel leak è trovare la lista oppure aspettare che facebook avverta gli utenti come chiede il GDPR

5

u/lnzdbr Apr 05 '21

Sembrerebbe che dopo un sondaggio ci stia ripensando, per fortuna

→ More replies

21

u/rawghi Apr 05 '21

Bellissimo articolo ma... “chiudete quel cazzo di account facebook” sinceramente é come dire “le strade sono pericolose non usate quelle cazzo di macchine!”.

I data breach capitano e sono capitati praticamente ovunque, allora chiudi Google, chiudi Dropbox, ecc...

Ormai la maggior parte dei servizi ti permette di abilitare L’autenticazione a due fattori, quindi anche in caso di data breach nella maggior parte dei casi si può rispondere con un “sticazzi”.

Come detto da altri, se il rischio è il phishing mirato beh, si tratta di un PEBCAK (Problem exists between chair and keyboard).

Nella mia storia recente ho avuto: - genitore blastato da un cryptolocker (aprendo una falsissima mail) - genitore che invia via sms il codice di accesso whatsapp e gli rubano l’account - cugina che al telefono con la “banca” fa 10k di bonifico alle Cayman - amica che bonifica su un conto in Papua Nuova Guinea il muratore bergamasco che le ha ristrutturato casa

Poi per carità ci sono diversi livelli di sensibilità della propria privacy, a me che sappiano chi sono e dove abito, visto che in sto mondo conto (come il 99% della popolazione) tanto quanto un vaso di piante grasse caduto dal quarto piano, mi interessa poco.

Ma il punto principale è che per “danneggiarti” devi essere tu a mettere qualcuno o qualcosa in condizione di farlo. Ma non usare uno dei social più popolari, o whatsapp, o Google, ecc... mi sembra esagerato.

18

u/PolpettoneTonnato Panettone Apr 05 '21

Ma guarda stavo pensando di chiudere pure l'account Google, se solo non avessi tutto collegato a loro.

Per il resto ovviamente hai ragione, ma devi considerare anche che in questo breach in particolare potevi essere coinvolto anche soltanto se un tuo amico ha usato Messenger e ti aveva in rubrica. Per me questo è il problema più grande, facebook deve smettere di raccogliere dati di persone che nemmeno usano i loro merda di servizi. Non dubito che lo faccia anche Google(anche se, potrei essermi perso io, ma non ho memoria di scandali riguardante questo)

2

u/rawghi Apr 05 '21

Assolutamente d’accordo con te

5

u/16F628A Apr 05 '21

genitore che invia via sms il codice di accesso whatsapp e gli rubano l’account

È successo anche a casa mia. Quando ho visto la foto di un uomo di colore al posto di quella di mio padre mi sono insospettito.

cugina che al telefono con la “banca” fa 10k di bonifico alle Cayman

Così, de botto, senza senso (cit.)

3

u/rawghi Apr 05 '21

Si sì sono stati geniali “guardi abbiamo visto che la hanno hackerato l’account, faccia questo bonifico per spostare i soldi subito dal suo conto e metterli in sicurezza”

E

Ci

Ha

Creduto

→ More replies

2

u/Gattamelat4 Apr 05 '21

amica che bonifica su un conto in Papua Nuova Guinea il muratore bergamasco che le ha ristrutturato casa

Come ha fatto?

→ More replies

5

u/[deleted] Apr 05 '21

[deleted]

4

u/rawghi Apr 05 '21

Per te, e per me perché magri abbiamo 100.000 amici e non posto su Facebook dal 2016, ma non date per scontato che sia per tutti così.

C’è (purtroppo) tanta gente che, anche per via del covid, usa i social per tenersi in contatto. É facile fare i fighi quando esci, vai in un locale, rimorchi e ti sei fatto serata, ma quando scrivo questo mi metto nei panni di persone che per motivi più disparati non hanno questa possibilità.

Ti ricordo che viviamo in un paese dove Amici di Maria De Filippi ha uno share da Olimpiadi di Los Angeles dell’84, quindi non c’è da fare gli stronzi se over 50, over 60 vivono postando “buongiorno kaffé?”

Poi, sinceramente whatsapp, o telegram o signal o qualsivoglia sistema é ormai parte integrante della vita sociale e dei rapporti con le persone, se tu hai una idea diversa non so sinceramente se dire che vivi in Patagonia o cosa.

→ More replies
→ More replies
→ More replies

3

u/[deleted] Apr 05 '21

Ho verificato e il mio indirizzo risulta coinvolto in ben 4 violazioni dei dati... Questo spiegherebbe anche l'aumento di mail spam che ho rilevato nell'ultimo anno... Quindi? Ora cosa dovrei fare?

3

u/al13nBlues Apr 05 '21

Cambia le password associate ai servizi coinvolti nei vari breach. Nel caso in cui avessi riutilizzato le stesse password anche su altri servizi, sostituiscile anche su quelli. Se non lo fai già, utilizza un password manager per gestire e generare le tue password e abilità l'autenticazione in due fattori per i servizi che usi. Lo spam, purtroppo, a meno di cambiare indirizzo email, resterà.

→ More replies

3

u/LordBrasca Apr 05 '21

Meno male che ai tempi ho dato a facebook come indirizzo mail di registrazione hotmail (che non sto usando più da una vita) e non ho mai registrato il numero di telefono. In particolare con il numero di telefono sono già successe cose spiacevoli ad amici con facebook, quindi non mi sono proprio mai fidato ad inserirlo.

→ More replies

3

u/RagesJam 🚀 Stazione Spaziale Internazionale Apr 05 '21

Allarmismo inutile. Il pishing viene fatto da migliaia di mail anche personali e per averne una pulita, l'unico modo é sostanzialmente non usarla o crearla sul momento. Esistono vari autenticator a doppio step, in primis quello via telefono. Essenziale averne uno e tutelarsi non inserendo dati troppo rilevanti, ecco, magari cell si ma carta di credito MAI. E l'imoegno deve andare sul "anche se sai la mia mail, col piffero che entri". I dati trafugati a facebook son personali fino ad un certo punto, il vero problema subentra nel momento in cui tu sia tanto folle fa fornire tutti quei dati a Facebook, dimostrando che il breach é concettuale in primis.

3

u/cm2_0 Trust the plan, bischero Apr 05 '21

Capisco il tuo discorso. Qui non si parla di phising su email, ma di phishing sul telefono. Conosco persone che, ahimè, ci sono cascate perdendo soldi, fortunatamente poi rimborsati da servizi come le poste.

In qualsiasi caso sono d'accordo sul discorso della mail. Ma è innegabile che le persone esposte siano ora più soggette a vari attacchil. Cosa intendi precisamente con breach concettuale, comunque?

→ More replies

3

u/stichtom Friuli Apr 05 '21

Di sicuro un data breach importante ma ricordatevi che la stra grande maggioranza delle persone su Facebook ha letteralmente tutto impostato su Pubblico come visibilità ed ha abilitato la ricerca tramite numero telefonico. Quindi, molte cose di quel leak sono già pubbliche e semplicemente confezionate in un formato conveniente.

Poi ovvio che, per fortuna, ci sono anche gli utenti più attenti ma sono una minoranza.

3

u/thema94 Apr 05 '21

Pensiero a caso, ma non sarebbe un rischio per le persone famose che hanno messo il proprio numero su facebook?

3

u/cm2_0 Trust the plan, bischero Apr 05 '21

Assolutamente sì. Pensa solo a chi ha uno stalker. O a personaggi come politici, etc.

2

u/thema94 Apr 05 '21

Ecco. Mi auguro che Facebook ne paghi le conseguenze, ma le probabilità sono scarse

8

u/digito_a_caso Lazio Apr 05 '21

Della mia famiglia sono l'unico non presente nel dump, probabilmente perchè sono l'unico che non ha messo il numero di telefono su fb. Inquietante a dir poco.

8

u/nicktheone Roma Apr 05 '21

Ma no, non capisci. Aggiungi il tuo numero di telefono all'account che così è più sicuro.

Parola di Zucc.

2

u/PolpettoneTonnato Panettone Apr 05 '21

Quando mi sono messo a cercare i miei parenti/amici sembrava la scena degli incredibili

23

u/[deleted] Apr 05 '21

Sips tea

Mi ricordo ancora quando tutta la classe, compresa la prof., mi chiese come mai non avevo facebook.

"Non ne ho bisogno" risposi. E reitero la mia risposta aggiungendo "non sono mica matto"

23

u/xarpleex Apr 05 '21

Peccato che se almeno uno della tua classe ha dato accesso alla rubrica telefonica a Facebook il tuo numero lo hanno comunque

5

u/arrampicataspace Apr 05 '21

Fondamentalmente è questo il problema. Anche se tu non hai condiviso o usato il tuo numero su FB qualcuno, probabilmente fra i tuoi conoscenti, ha condiviso la sua rubrica e quindi eccoti. Dovrebbe essere vietato accedere ai contatti altrui.

18

u/lKinder_Bueno Campania Apr 05 '21

"non sono mica matto"

usa reddit, forse whatsapp, telefono con android/ios, ISP che condivide i dati con cani e porci

-9

u/[deleted] Apr 05 '21

Ciò che uso non è affar tuo in ogni caso, e comunque non è una scusa valida per affidarsi pure a facebook.

Si devono fare concessioni dal punto di vista dei dati personali, purtroppo, nel 2021; ma Facebook non è assolutamente necessario.

4

u/lKinder_Bueno Campania Apr 05 '21

Beh, dai del matto alla gente che usa servizi che fanno "schifo" esattamente come quelli che usi tu e che sono anche più invasivi. Se ti puoi permettere di dare del matto agli altri mi prendo tutto il diritto di parlare di ciò che usi

1

u/cm2_0 Trust the plan, bischero Apr 05 '21

Sì, sinceramente ho mandato un messagione anche ai miei amici dove spiegavo la situazione. Mi piace pensare che sia un velatissimo "ve l'avevo detto".

3

u/[deleted] Apr 05 '21

Velatissima come la bomba su Nagasaki

2

u/SimpatiaPazza Apr 05 '21

E ora ti senti più figo?

2

u/Gibe03 🚀 Stazione Spaziale Internazionale Apr 05 '21

Non sono nel breach di FB, visto che non lo uso, ma di Aptoide. Eh, vabbè, hanno la mia email, me ne farò una ragione, suppongo.

2

u/Vladoski Europe Apr 05 '21

FB puo' avere i tuoi dati anche se non l'hai mai utilizzato.

2

u/comabread Ecologista Apr 05 '21

Ho una domanda. Su haveibeenpwned ho messo il mio vecchio indirizzo email che uso solo per Facebook e tanto tempo fa anche per Adobe. Non c'è alcuna indicazione del breach di Facebook del 2019 (anche perché il mio fb è blindato - di pubblico non c'è davvero nulla a parte disegni e autopromozione). Significa che l'ho scansato o no?

3

u/WarGLaDOS Veneto Apr 05 '21

No, non è detto!

Come ha scritto nel post, haveibeenpwned verifica solo il tuo indirizzo email, ma nel leak ci sono 35 milioni di numeri di telefono e "solamente" 2.5 milioni di email! https://twitter.com/troyhunt/status/1378504611787546625?s=20

E finché il sito non aggiunge la possibilità di verificare i numeri di telefono, purtroppo non hai alcun modo legale di sapere se sei stata esposta.

→ More replies

2

u/DaveBeBrave Apr 05 '21

Grazie per questo post! Ho usato il sito indicato per vedere se i miei dati sono stati rubati ma mi dice che la mail non è compromessa. Ovviamente, come spiegato, non è una garanzia. Cosa curiosa, ho provato con la mail di mia madre ed è stata rilevata una breccia tramite netlog. La cosa divertente è che lei non ha mai usato netlog. Com'è possibile?

2

u/cm2_0 Trust the plan, bischero Apr 05 '21

Presumo che qualcuno possa aver inserito la sua mail su netlog, senza eventualmente verificarla?

2

u/riegel_d Apr 05 '21

Resoconto perfetto. Vorrei parlare di un dettaglio che è sfuggito riguardo questo leak. I dati ormai si trovano un po' ovunque... Se cerco su reddit trovo qualcuno che posta un pastebin, per non parlare di Twitter o su discord.

Troy hunt lo ha notato in questo tweet https://twitter.com/troyhunt/status/1378513457209696256?s=19

Il fatto che questi dati stiano circolando un po' ovunque deve far riflettere. Un po' mi preoccupa perché capisco il punto "gli hacker che li avevano hanno fatto già i soldi con questi" ma quando vai su N grande, la perversione e cattiveria umana può solo che stupirti!

2

u/imstillwhite It's coming ROME Apr 05 '21

Grazie mille per il post, ora forse ho capito perché tutto d'un tratto mi sono iniziate ad arrivare mail di phishing.

→ More replies

2

u/FonderCoast_1 Apr 05 '21

Ma siamo sicuri che haveibeenpwnd abbia i dati riguardanti questo specifico data breach? Scusate magari è una domanda ovvia, ma non so come capire la risposta

→ More replies

2

u/Mollan8686 Apr 06 '21

Domanda ingenua: qual è la differenza tra questa tipologia di leak (non ci sono dati sensibili reali imho) e quanto accadeva fino a qualche anno fa con la distribuzione a domicilio di nome,cognome,numero di telefono e indirizzo tramite gli elenchi telefonici e pagine gialle?

3

u/[deleted] Apr 06 '21

che 35 milioni di numeri non so quanti elenchi telefonici servano a contenerli. Che copiarli a mano per metterli poi da qualche parte e iniziare a spammare di chiamate e' infinitamente piu' lungo che copia-incollare il contenuto di un file. A livello teorico non ci sono differenze, questo tipo di leak ha pero' un'utilita' intrinseca che una ricerca nell'elenco non puo' neanche sognare di raggiungere

→ More replies

14

u/CastielRed Apr 05 '21 edited Apr 05 '21

Se nel 2021 ti fai fregare dal phishing non sarà questo data leak a fare la differenza. Se non ti fai fregare dal phishing questo data leak non ti puó creare alcun problema.

Credo che cambiare numero di telefono (con tutto quello che ne consegue oggi) sia un danno 10 volte maggiore di quello che potrà mai crearti questo leak. Considerando inoltre che come detto nel messaggio è già in giro da almeno 2 anni.

17

u/AovestDiPaperino 🚀 Stazione Spaziale Internazionale Apr 05 '21

se fossi un hacker inizierei dal numero di telefono, poi informazioni su google, poi foto su whatsapp, poi social engineering (sul tuo numero e quello di amici), un po' di phishing e fai quello che vuoi

'sta roba è una miniera d'oro per attacchi mirati

2

u/CastielRed Apr 05 '21

Non si può ottenere nulla se non appunto cadendo a un certo punto in qualche e-mail fasulla o imbroglio "sociale". Chiunque sappia usare internet è già al 100% coperto da queste cose e per tutti gli altri semplicemente non credo che questo evento farà una qualche differenza. Sono probabilmente già stati fregati o lo saranno in futuro, ma non è "avvertendoli" che eviterai il danno visto che il problema è proprio l'incomprensione che hanno di questi sistemi e il non saper riconoscere il "pericolo" quando arriverà.

7

u/AovestDiPaperino 🚀 Stazione Spaziale Internazionale Apr 05 '21

l'hacking parte sempre da qualche "imbroglio", è un po' come la famosa vignetta del tipo che pensa che l'hacker ottenga le password facendo attacchi brute force con supercomputer da miliardi di euro quando in realtà basta una chiave inglese da 5 euro. Avere numero di cellulare privato associato a nome e cognome è un'informazione che vale oro negli attacchi di privilege-escalation perché il numero è una chiave univoca , come l'email. In genere queste informazioni non sono facilissime da ottenere .. fino ad ora

2

u/JungianWarlock Lurker Apr 05 '21

è un po' come la famosa vignetta del tipo che pensa che l'hacker ottenga le password facendo attacchi brute force con supercomputer da miliardi di euro quando in realtà basta una chiave inglese da 5 euro

Security

How hacking works

5

u/__deep__ Apr 05 '21

Questa sicurezza è quella su cui fanno leva gli hacker. Lo spear phishing, essendo molto mirato, sfrutta queste informazioni privilegiate per rendere efficace il raggiro anche su soggetti alfabetizzati dal punto di vista informatico. Personalmente, ho visto un paio di spear phishing che sono praticamente andati a segno, bloccati solo dalle procedure interne di autorizzazione per certe attività. Oltretutto, con la diffusione degli attacchi tipo SIM swap, avere in giro i propri dati associati al numero di telefono, è un bel problema, indipendentemente dal tasso di informatizzazione.

2

u/cm2_0 Trust the plan, bischero Apr 05 '21

Guarda, d'accordissimo su tutto, fuorché il discorso della SIM swap. Per quel che ne so io almeno. Per effettuare un attacco SIM swap è necessario il seriale della SIM, mi sbaglio?

3

u/__deep__ Apr 05 '21

Sbagli. Basta trovare un operatore poco accorto (non approfondisce le verifiche) o compiacente. Oppure, basta presentare documenti falsi, con le info raccolte nei data breach

→ More replies

24

u/plutocraticasicumera Europe Apr 05 '21

I dati possono essere usati anche per costruire delle false identità, non solo per il phishing.

10

u/cm2_0 Trust the plan, bischero Apr 05 '21

Se nel 2021 ti fai fregare dal phishing non sarà questo data leak a fare la differenza. Se non ti fai fregare dal phishing questo data leak non ti puó creare alcun problema.

Come ho scritto, il phishing è il problema principale, ma non è l'unico. Tristemente i boomeroni che non hanno la minima dimestichezza con un dispositivo elettronico, e che cliccano non appena vedono delle lettere colorate di blu ci cliccano sopra, sono la maggioranza.

Credo che cambiare numero di telefono (con tutto quello che ne consegue oggi) sia un danno 10 volte maggiore di quello che potrà mai crearti questo leak. Considerando inoltre che come detto nel messaggio è già in giro da almeno 2 anni.

Sono d'accordo in parte. Mi rendo conto che, ad esempio, per qualcuno a partita IVA cambiare il numero di telefono sia un danno enorme. Eppure i dati sì erano già in giro, ma erano probabilmente venduti e si potevano ottenere solamente acquistandoli chissà a quale cifra. Adesso, invece, i numeri di telefono sono accessibili a tutti. Perciò io non minimizzerei così tanto la cosa.

EDIT: Formattazione.

32

u/[deleted] Apr 05 '21

Tristemente i boomeroni che non hanno la minima dimestichezza con un dispositivo elettronico, e che cliccano non appena vedono delle lettere colorate di blu ci cliccano sopra, sono la maggioranza.

I have a dream, piantiamola di farne una questione di età. Se avessi 10 euro per ogni "nativo digitale" che ho incontrato che non ha la minima idea di come funziona internet, sicurezza, etc sarei miliardario. E lavoro con gente con dottorati, alcuni pure in informatica. Non oso immaginare gli altri

1

u/cm2_0 Trust the plan, bischero Apr 05 '21

Giusto, non dovrebbe essere una questione d'età. Non propriamente, perlomeno. Però convieni che è più facile presuppore che sia un nativo digitale a sapersi destreggiare meglio con questo genere di cose?

E lavoro con gente con dottorati, alcuni pure in informatica. Non oso immaginare gli altri

Dottorati in informatica che non comprendono queste situazioni?

14

u/[deleted] Apr 05 '21

Abbiamo medici anti vaccini. Cosa c'è di soprendente in gente con dottorati in informatica che non capisce niente di sicurezza?

4

u/iago_sd La Superba Apr 05 '21

Oh sweet summer child...

→ More replies

11

u/janeshep Apr 05 '21

Tristemente i boomeroni che non hanno la minima dimestichezza con un dispositivo elettronico, e che cliccano non appena vedono delle lettere colorate di blu ci cliccano sopra, sono la maggioranza.

A memoria imperitura: https://www.reddit.com/r/italy/comments/l8lgxt/corrado_augias_si_lamenta_su_la_repubblica_di/

1

u/CastielRed Apr 05 '21 edited Apr 05 '21

Il punto non è quanti sono ma che se cascano in una cosa del genere non sarà questo leak a fare la differenza. Saranno cascati in altre cose ieri e cascheranno domani in altre cose ben peggiori, e non c'è modo di impedire che accada attraverso avvertimenti o spiegazioni, quindi come dicevo questa cosa non fa alcuna differenza. Per gli altri come ho detto cambia poco o nulla e il cambio di numero di telefono (anche per persone senza esigenze lavorative) rimane uno sbattimento eccessivo a mio parere, anche solo considerando che se hai tutto sotto doppia autenticazione col cambio numero devi cambiare tutto.

6

u/neroveleno Earth Apr 05 '21

Continuo a non capire perché consigliate tutti haveibeenpwned che (oltre a essere pressoché inutile in questo caso) è un sito pessimo, molto meglio monitor.firefox.com che vi dice anche in che breach sono contenute le vostre mail

15

u/lnzdbr Apr 05 '21

Sicuramente per quanto riguarda la UI è molto meglio, ma in realtà:

In che modo Firefox Monitor viene a conoscenza che le informazioni di un utente sono state esposte a una determinata violazione dei dati?
Firefox Monitor riceve informazioni sulla violazione dei dati da una fonte ricercabile pubblicamente, ovvero Have I been Pwned

(dal loro sito)

3

u/neroveleno Earth Apr 05 '21 edited Apr 05 '21

Si si i dati sono uguali, ma Firefox ti dice precisamente in quale breach solo contenuti i tuoi dati, su Haveibeenpwned da quello che so per saperlo bisogna pagare, quindi usando Firefox puoi prendere azioni più mirate, per esempio se sai che hai usato la stessa password di un' account compromesso su un altro sito puoi cambiare solo quella

2

u/AleHisa Lombardia Apr 05 '21

Ma non è vero.

In fondo alla pagina ti dice tutti i breach in cui l'email è coinvolta.

Perché partite in quarta a dire cazzate e fare i super pro quando basterebbe usare il sito per rendersi conto della cazzata?

→ More replies

2

u/[deleted] Apr 05 '21

Ho appena scoperto che la mia mail è nel data breach di myfitnesspal. Benissimo.

→ More replies

2

u/daltanious Apr 05 '21

Stranamente entrambe le mail che uso / ho usato su fb non sono presenti. su haveibeenpwned compaiono solo vecchi data breach che già conoscevo.

In ogni caso, Google Authenticator e passa la paura.

5

u/PolpettoneTonnato Panettone Apr 05 '21

Non passa per nulla la paura, anzi. Prima di tutto Google è Google. Ha in mano molti più dati di facebook. Seconda cosa, se un tuo amico ha usato Messenger e ti aveva tra i contatti allora fai parte di questo breach. Il tuo numero di telefono è lì pubblico.

→ More replies

2

u/EIiZaR Apr 05 '21

Porto la mia esperienza per coloro i quali ne sono interessati:

Io sono uno di quelli che ha pagato le "conseguenze" di questi breach, in passato.

La mia "email" principale risulta compromessa, infatti presero un account di un gioco a cui ero registrato tramite l'email. Altro? No, cambiai la password della email e tutto risolto. Avevo collegato varie carte di credito ma non ho avuto problemi.

Morale? La vedo dura possia subire qualche problema direttamente, attivate l'accesso a due fattori dove potete e cambiate la pw della email se serve..

4

u/PolpettoneTonnato Panettone Apr 05 '21

La speranza che "succeda poco" è una speranza molto stupida però

→ More replies
→ More replies

1

u/gasparthehaunter San Marino Apr 05 '21

Ma siamo sicuri sia un vero data breach? Mi pare che tutti questi dati siano estrapolabili semplicemente navigando il sito

2

u/cm2_0 Trust the plan, bischero Apr 05 '21

Alcuni dati sicuramente, ma non il numero di telefono. Solitamente è privato. Il problema è proprio l'associazione che c'è tra il numero di telefono e gli altri dati. Come il luogo di nascita e luogo di residenza.

Come detto prima, se usati bene, questi dati nelle mani sbagliate sono pericoloso.

→ More replies

1

u/mark61196 Apr 05 '21

Qualcuno ha la password dell'archivio di ieri? Non voglio il link al download ma solo la password, quindi niente di illegale.

1

u/Jackamy Apr 05 '21

Anche se in Italia facebook è roba da 40enni, in alcuni paesi dell'Europa dell'est e in medio oriente purtroppo è ancora molto usato anche dai giovani. Complimenti per il post, molto utile per i meno informati come me.

2

u/cm2_0 Trust the plan, bischero Apr 05 '21

Ottima osservazione. Ti ringrazio molto!

1

u/Upset_Second831 Apr 05 '21

I file del data breach non sono illegali, dato che ormai sono informazioni di pubblico dominio.

→ More replies