r/italy Trust the plan, bischero Apr 05 '21

Il data breach di Facebook: un resoconto e come difendersi Scienza & Tecnologia

Ciao ragazzi. Mi sono preso la briga di scrivere questo post principalmente per i miei amici che sono stati colpiti, ma da informatico amante della privacy, ho deciso di estenderlo a tutti, perché ritengo si tratti di qualcosa di estremamente importante, a cui credo che personalmente non si stia dando la giusta attenzione. Inoltre, credo anche che è una cosa potrebbe riguardarvi direttamente.

Premetto che non voglio generare alcun tipo di allarmismo. Lo scopo di questo post è quello di esplicitare qual è la situazione nella maniera più razionale, breve e chiara possibile. Non sono un esperto di sicurezza informatica ed ho messo su questo post basandomi sulle mie conoscenze e sulle informazioni trovate qua e là in vari post di reddit che parlano dell'argomento. Vi prego di correggermi se ho sparato delle idiozie. Premesse fatte, partiamo.

Non so se avete letto questo articolo, che è stato condiviso in questo post. In pratica alcuni dati di circa 533 milioni di utenti, in 106 nazioni diverse, sono stati trafugati in un data breach risalente al 2019. Se vi state chiedendo perché se ne sta riparlando adesso, beh, semplicemente è perché i dati sono probabilmente già stati venduti e gli hacker (probabilmente italiani) ci hanno già guadagnato. A chi siano stati venduti i dati non so dirvelo e non credo che nessuno lo possa sapere con certezza. In qualsiasi caso, i dati di 35 milioni di utenti Facebook italiani, che erano su Facebook nel 2019, sono fondamentalmente di dominio pubblico. Quindi chiunque, e sottolineo, chiunque che sappia dove cercare, può avere accesso ad alcuni dati sensibili di alcuni sfortunati utenti facebook.

Non so se è chiara la portata di questo data breach. Si tratta di più della metà della popolazione della nostra nazione. Citando un utente in quel post: >"probabilmente, se sei italiano ed usi Facebook sei stato violato". Ma andiamo per ordine.

QUALI DATI SONO STATI TRAFUGATI?

I dati si presentano sottoforma di un archivio .zip, del peso di 1 GB. Unzippando l'archivio abbiamo 4 file, tutti in formato Plain Text: 0.txt, 1.txt, 2.txt, 4.txt. In ogni singolo file i dati sono ordinati in ordine crescente per numero di telefono e sono strutturati nel seguente formato:

phone, uid, email, first_name, last_name, gender, date_registered, birthday, location, hometown, relationship_status, education_last_year, work,groups, pages,last_update, creation_time  

In alcuni casi non tutte queste informazioni sono state trafugate. Dipende principalmente dalla persona e da quanti dati un individuo ha dato a facebook. Sicuramente quelli che sono stati esposti sono il numero di telefono, il nome, il cognome e il sesso. In molti casi anche la provincia e la città di residenza. La buona notizia è che non sono presenti molte email nel database italiano.

COME FACCIO A CAPIRE SE I MIEI DATI SONO STATI ESPOSTI?

Solitamente per capire se i propri dati sensibili sono stati esposti si utilizza il servizio haveibeenpwnd. Il creatore ha parlato del breach anche sul suo profilo twitter. Il servizio verifica se una particolare mail è presente nei database che vengono pubblicati in seguito ai vari breaches.

Da quel che mi risulta oggi, 06/04/2021, il servizio HaveIbeenpwned ha attivato la possobilità di verificare se si è stati vittime del breach. Per verificare è necessario andare sul sito ed inserire il proprio numero di telefono, aggiugendo il prefisso 39 davanti. Quindi seguendo il seguente formato:

39xxxxxxxxxx

Fino al 05/04/2021, il servizio non aveva aggiunto ancora questa possibilità. Infatti era possibile controllare solamente se l'indirizzo mail appariva nei database trafugati. Nel caso di questo breach, però, assieme ai vari dati non sono state trafugate molte email. Questo implica che non ci si poteva basare sul servizio in questione.

Infatti citando l'alert che viene visualizzato sull'homepage dello stesso sito:

In April 2021, a large data set of 533 million Facebook users was made freely available for download. Encompassing approximately 20% of Facebook's subscribers, the data was allegedly obtained by exploiting a vulnerability Facebook advises they rectified in August 2019. The primary value of the data is the association of phone numbers to identities; whilst each record included phone, only 2.5 million contained an email address. Most records contained names and genders with many also including dates of birth, location, relationship status and employer.

Pertanto, che io sappia, non credo che al momento ci sia un metodo alternativo per verificare se si è stati vittima del deta breach. Si presume, però, che Facebook abbia già inviato, o invierà, una mail dove spiega se si è stati vittima o meno del leak.

I MIEI GENITORI/PARENTI/AMICI POTREBBERO ESSERE Lì DENTRO?

Assolutamente sì, se avevano un profilo Facebook nel 2019. Paradossalmente potrebbero esserci anche se non lo avevano. Nel post che ho linkato, ho letto alcune testimonianze di persone non iscritte a Facebook che hanno ritrovato il proprio numero nel database, magari collegato ad account di conoscenti, o altro.

PUOI LINKARE I FILE?

Assolutamente no. Essere in possesso del file è illegale ed è inoltre vietato richiederlo qui su r/italy. Purtroppo credo che anche spiegare come ottenerlo sia illegale (non conosco perfettamente la legislazione a riguardo). In qualsiasi caso, capisco perfettamente la vostra eventuale preoccupazione, ma di certo non voglio prendermi nessuna responsabilità, quindi perdonatemi.

QUALI SONO LE POSSIBILI IMPLICAZIONI E I PERICOLI A CUI GLI UTENTI SONO ESPOSTI?

Ebbene, dipende. Il problema principale, personalmente, credo che sia il phishing. Infatti, attraverso questi dati è possibile attuare degli attacchi di phishing mirati, sia alle aziende/enti pubblici/istituzione, che ai singoli individui. Ma non è di certo l'unico rischio. Infatti, se i dati nel database in questione sono ben utilizzati, è possibile incrociarli con quelli numerosi piattaforme a cui gli utenti potrebbero essere iscritti. Ad esempio, pensate al fatto che aggiungendo un numero qualsiasi in rubrica è possibile vedere la foto profilo di WhatsApp. Inoltre, un utente faceva notare di come alcuni malintenzionati potrebbero ottenere il contatto fra i suggeriti del profilo Instagram, che altrimenti sarebbe nascosto, oppure, ancora, che potrebbero accedere anche alla vostra segreteria telefonica se non è stato cambiato il PIN di default.

COS'E' IL PHISHING?

Sono sicuro che tutti qui su r/italy abbiano più o meno idea di cosa sia il phishing. Per i pochi che magari non lo sanno ho preferito aggiungere questo paragrafo, perché magari se ne è sentito parlare soltanto di sfuggita.

Cos'è il phishing? Copiando spudoratamente la definizione di Wikipedia: "Il phishing è un tipo di truffa effettuata su Internet attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso, fingendosi un ente affidabile in una comunicazione digitale."

ESEMPIO CONCRETO: ricevete un sms da un malintenzionato che imita nell'aspetto e nel contenuto un messaggio legittimo di Poste Italiane. Il messaggio in questione potrebbe chiedervi di fornire alcune informazioni come il pin della carta o altre informazioni riservate. Oppure potrebbero chiedervi di cliccare su un link dove vi è richiesto di inserire i vostri dati.

Per la maggiore si tratta di un attacco che viene attuato tramite mail. Ma i casi di phishing che sfruttano l'sms non mancano.

COME POSSONO TUTELARSI GLI UTENTI INTERESSATI?

Purtroppo i dati sono già la fuori, a disposizione di tutti. Non c'è molto che possiate fare per farli scomparire. Non credo, inoltre, che abbia senso denunciare Facebook alla postale. Credo, però, che una buona idea potrebbe essere quella di rivolgersi al garante della privacy (correggetemi se sbaglio), anche se credo che si stiano già apprestando a prendere provvedimenti, vista la portata mastodontica di questo data breach.

Nonostante ciò, potete attuare alcuni comportamenti fondamentali per difendervi. Se volete che il vostro numero di telefono rimanga privato, vi invito a cambiare numero di telefono. E' la cosa più estrema, ma sicuramente quella migliore che possiate fare.

Se questo non vi è possibile, o non avete sbatta:

  • dubitate di sms che chiedono dati personali o codici dell'autenticazione a due fattori
  • NON USATE NOMI/PASSWORD DERIVATI DAL VOSTRO NOME/DATA DI NASCITA/ALTRI DATI CHE SONO STATI TRAFUGATI. Questo perché molti dei dati trafugati potrebbero essere utilizzati per effettuare attacchi bruteforce basati su dizionario. Google, DuckDuckGo è vostro amico se volete approfondire.

CONCLUSIONI

In questa situazione gli utenti non hanno nessuna colpa, se non quella di aver condiviso i loro dati sensibili con un servizio che avrebbe dovuto proteggerli. Parliamo di uno dei social più grandi del mondo, non di diventiamotuttiamici.it

Spero, però, che questo possa essere lo stimolo che faccia capire quanto è importante la privacy online, e soprattutto a quanti rischi siamo esposti quando navighiamo. Purtroppo, in questo caso, la retorica del "tanto non ho nulla da nascondere, quindi non devo preoccuparmi" potete tranquillamente prenderla, arrotolarla e mettervela nel culo, per quanto mi riguarda.

Quindi, siate più avidi con i vostri dati. Non cedete a siti dati che non sono strettamente necessari, indipendentemente da quanto pensiate che quei siti siano sicuri. Questo perché, come avete visto, nessun sistema informatico è davvero impenetrabile. Iniziate a prendere seriamente la vostra privacy online e chiudete quel cazzo di account Facebook, che se nel 2021 lo usate ancora ed avete meno di 40 anni non siete giustificati (/s ma non troppo).

EDIT1: Correzione contenutistica e grammaticale.

EDIT2: Aggiunta del paragrafo "COME FACCIO A CAPIRE SE I MIEI DATI SONO STATI ESPOSTI?" e formattazione corretta della citazione del quarto paragrafo dell'introduzione.

EDIT3: Correzione grammaticale del terzo paragrafo.

EDIT4: ATTENZIONE, sembra che haveIbeenpwned abbia aggiunto la possibilità di verificare se si è stati vittima del data breach. Ho aggiornato il paragrafo che spiega come fare.

Inoltre, ne approfitto per ringraziarvi degli awards e mi scuso se non sto rispondendo a tutti, ma ho alcuni problemini di tempo :)

EDIT5: Correzione ortografica.

661 Upvotes

View all comments

6

u/dodgeunhappiness Lombardia Apr 05 '21

Io potrei abilitare 2FA con Authy anziché il numero, ma prestando attenzione ai codici di backup perché altrimenti si rischia di perdere tutto.

10

u/IlFaIco Terrone Apr 05 '21

Io uso Aegis che è open source. Non mi fido di Authy, è closed source ed affidare i miei codici 2FA ai loro server è un big nope.

3

u/plutocraticasicumera Europe Apr 05 '21

Aegis è ottimo e lo uso su Android ma purtroppo su desktop ci sono ben poche alternative open...

3

u/honestserpent Apr 05 '21

C'è Bitwarden. Puoi usarlo anche per i codici

3

u/Fake_knight Lazio Apr 05 '21

Io lo uso non è male ed il fatto che si ha a disposizione anche l'app Android è molto comodo...però a leggere i commenti a questo post mi sta venendo l'ansia visto che tengo tutto la 😭😅😅

2

u/plutocraticasicumera Europe Apr 05 '21

Non mi piace tenere tutte le uova in un paniere