facebook
(iStock)
Cyber Security

533 milioni di account Facebook rubati: cosa rischiamo e come proteggerci

L'attacco al principale social del mondo ha colpito anche gli italiani e dovrebbe insegnarci qualcosa

533 milioni di account Facebook rubati: cosa rischiamo e come proteggerci

Più di 533 milioni di utenti Facebook hanno subito un furto di informazioni personali. I dati sottratti sono stati infatti postati su di un forum di hacker pubblico, gettando ancora più luce sulla preoccupante crescita dei furti di credenziali d'accesso da parte dei cybercriminali.

Da quanto emerge, i dati degli utenti Facebook resi pubblici negli scorsi giorni, farebbero parte del grande data Breach del 2019, provocato dal security bug "Add Friend".

Questa falla nel sistema di sicurezza del social noto in tutto il mondo, aveva permesso ai malintenzionati di sottrarre dettagli relativi a milioni di account per poi rivenderli al miglior offerente sul mercato nero.

Secondo gli ultimi aggiornamenti, i dati sarebbero attualmente accessibili a chiunque sia disposto a pagare il prezzo richiesto (inferiore a 3 $). Fra i dati in vendita ci sarebbero i numeri di telefono associati agli account Facebook, FB ID, nome e informazioni sul genere dell'utente colpito.

Al momento della prima rilevazione del problema, il dataset era di libera navigazione (a patto di pagare il prezzo), almeno a giudicare da un annuncio pubblicitario visto sull'app di messaggistica Telegram. Ora, gli stessi dati sono disponibili su forum pubblici a praticamente chiunque.

Figura 1 Un esempio dei forum dove sono stati commerciati i dati

Tali informazioni potrebbero essere usate (ma considerando la mole del data breach sarebbe meglio evitare di utilizzare il condizionale, poiché si tratta di una quasi assoluta certezza) per campagne di social engineering, scamming, hacking e marketing aggressivo.

La risposta di Facebook

Facebook ha riconosciuto alla stampa che i dati sottratti sono ora di pubblico dominio, aggiungendo in una nota rilasciata ad Associated Press che si tratta "di dati vecchi, relativi a un problema già rilevato nel 2019 e risolto nello stesso anno, nel mese di agosto".

Database colabrodo, data Breach e bug risalente al 2019. Dalla dichiarazione pubblica di Facebook non è chiaro a quale evento venga fatto riferimento.

Nel dicembre del 2019, Facebook aveva reso pubblica la violazione di un database che conteneva nomi, numeri telefonici e User ID di 267 milioni di utenti. I dati, secondo i ricercatori, erano stati sottratti dall'API di sviluppo di Facebook prima che la società restringesse l'accesso a questa, almeno per quanto concerne numeri telefonici e altri dati.

Nei mesi successivi, più precisamente nel settembre del 2019, era stato scoperto un open server dal quale erano stati sottratti milioni di numeri di telefono di utenti Facebook. Come se non bastasse, qualche tempo prima, ad aprile, alcuni ricercatori di cyber security avevano trovano due dataset distinti, in mano a degli sviluppatori di app (Cultura Colectiva e At the Pool). La fonte di tali dati (nomi account e dati personali) in questi database era indicata essere Facebook.

Il content scraping dalle API

Sfruttare debolezze nell'interfaccia di programmazione di varie applicazioni al fine di raccogliere (o sottrarre) dati è diventata pratica comune fra data broker e Criminal hacker.

Tale pratica, definita tecnicamente "content scraping" è spesso il primo step di una più complessa catena d'attacco.

Questo perché talvolta le società creano o integrano delle API (applicazioni) senza considerare attentamente la protezione di questo "fronte".

Le API vengono spesso progettate e realizzate per facilitare le creazioni di legami di partnership e adozione dell'app sulla quale sono basate, rendendo facile lo sviluppo di tecnologie e sistemi complementari (si pensi a tutte le app "complementari a Facebook).

In un certo senso è una specie di "libero mercato" dello sviluppo di codice, al fine di velocizzare l'evoluzione di una tecnologia, di un'app o di un software. Nel caso di Facebook, i dati relativi ai profili degli utenti possono essere utilizzati in attacchi automatizzati, come "credential stuffing" (attacco brute-force) per ottenere il controllo di un account.

Per risolvere, almeno parzialmente, questo problema, si potrebbe pensare alla cifratura dei dati contenuti in queste API. La questione dei Data Breach vede coinvolta Facebook in questo frangente, ma potrebbe impattare altri business nei giorni a venire.

Se da un lato è impossibile evitare che si presentino vulnerabilità che potrebbero mettere a rischio i dati degli utenti, è possibile implementare soluzioni già presenti per ridurre il rischio che tali dati possano essere utilizzati dai criminali.

Come sapere se il proprio account Facebook è fra i 533 milioni coinvolti?

I dati raccolti mostrano come siano state pubblicate informazioni relative a utenti di 106 Paesi, 32 milioni dei quali residenti negli Stati Uniti, ma anche tantissimi italiani. A ogni record era associato ID Facebook, nome e cognome, numero telefonico (cellulare), indirizzo (città di residenza) e indirizzo email.

Da lunedì di Pasquetta, sul sito Have I Been Pwned è possibile verificare se si sia stati coinvolti nel data dump. Sarà sufficiente inserire l'indirizzo email per completare tale verifica. Bisogna però ricordare che solo 2,5 milioni dei 533 milioni di record sottratti avevano associato anche un indirizzo email (rendendo poco efficace questo controllo). Nella giornata di ieri (6 aprile) è stata aggiunta la funzionalità di controllo tramite numero telefonico.

Come difendersi

Ovviamente la possibilità di essere stati coinvolti in questa violazione c'è, ma dobbiamo comunque mantenere la calma.

La prima cosa da fare è sicuramente "alzare" il nostro livello di allerta.

La nostra mail è stata compromessa e quindi potremmo essere di fronte a massicce campagne di Phishing che cercano di fare leva sulle informazioni trapelate per convincerci a cliccare su link malevoli per ottenere informazioni come i numeri delle carte di credito.

Queste però sono facilmente riconoscibili da alcuni segnali inequivocabili, il consiglio è quindi di prestare attenzione a questi idicatori.

  • Quando ricevi una mail aprila ma non cliccare in nessuna parte del suo contenuto, nemmeno nello spazio bianco.
  • Controlla sempre l'intestazione e la parte successiva alla @ del mittente: Se non corrisponde al sito web del mittente fai attenzione, probabilmente non proviene dall'azienda.
  • Fai attenzione alle mail che mettono fretta: Attenzione ai messaggi "verifica il tuo account" o "rispondi entro 48 ore" che sembrano essere stati inviati a social network, dalla tua banca o dalla tua azienda.
  • Controlla la forma della mail: Il testo deve essere scritto in modo corretto, senza errori di grammatica, e deve avere immagini di alta qualità.
  • Attenzione ai link: Controlla che i link presenti nella mail siano originali e corrispondano al sito ufficiale. Per farlo, passa con la freccia del mouse sul link, senza cliccare.
  • Fai attenzione agli allegati: Non aprirli se non sei sicuro e controlla che non vi siano doppie estensioni.

Coinvolti nella fuga d'informazioni, questa volta, sono però anche i numeri di telefono.

Quindi potremmo essere oggetto di Smishing. Di cosa si tratta? Si tratta semplicemente del classico vettore di Cyber Attack on-line traslato su piattaforma mobile, come suggerisce il nome.

Se nel caso del tradizionale Phishing i Criminal Hacker utilizzano mail fraudolente – affidandosi ad una serie di trucchi del mestiere per ingannare le vittime, come spiegato poco sopra – per convincere le proprie vittime a compiere azioni come cliccare su link malevoli o aprire allegati contenenti malware, nel caso dello Smishing questa attività viene replicata in tutto e per tutto, ma avviene tramite SMS.

Questo mezzo può risultare, se è possibile, ancora più pericoloso. In quanto generalmente l'attenzione che l'utente medio pone a quanto riceve sul proprio device è ancora minore.

In questo caso, quindi, dobbiamo prestare massima attenzione anche alle comunicazioni che ci arrivano sullo Smartphone, facendo attenzione a mittente, testo e link in esse contenute.

Non abbassiamo la guardia!

I più letti

avatar-icon

Pierguido Iezzi