Facebook, pubblici i dati di 36 milioni di italiani: come possiamo difenderci - Cyber Security 360

L'approfondimento

Facebook, pubblici i dati di 36 milioni di italiani: come possiamo difenderci

Il possibile data breach Facebook che ha portato alla pubblicazione dei dati di circa 533 milioni di utenti nel mondo impone una riflessione sui metodi per prevenire un tale rischio: al riguardo è intervenuto anche il Garante privacy italiano, invitando le persone a prestare attenzione ad anomalie sul proprio cellulare

07 Apr 2021
Giorgio Sbaraglia

Consulente aziendale Cyber Security, membro del Comitato Scientifico CLUSIT

Il possibile data breach di Facebook, a causa del quale numeri di telefono e altre informazioni personali di circa 533 milioni di utenti del social in tutto il mondo sono stati divulgati gratuitamente su un popolare forum di hacker, permette di approfondire il tema della violazione dei dati per capire come fare per prevenire i rischi e porre rimedio ai danni.

Infatti l’episodio che ha riguardato Facebook rappresenta un fatto grave che mette a rischio i dati personali e la privacy di molti utenti di Facebook di tutto il mondo. E tra questi, gli utenti italiani sono stati tra i più colpiti.

Data breach di Facebook, cosa è realmente accaduto

Facebook ieri ha rimarcato che non si tratta di una violazione delle loro reti e sistemi ma il frutto di uno scraping di dati pubblici nel 2019, tramite funzionalità che sono stati bloccati successivamente proprio per impedire questi utilizzi malevoli.

WHITEPAPER
La Sicurezza Cloud che non può MAI mancare. Qui tutti i dettagli
Cloud
Cybersecurity

Non dovremmo quindi trovare nel pacchetto dati che gli utenti non hanno resi pubblici; includono la mail e il numero di cellulare, elementi che – come ha scritto il Garante Privacy ieri in una nota – consentono di fare truffe di vario tipo ai danni degli utenti.

I dati pubblicati – e resi ormai accessibili a chiunque – sono esattamente quelli di 533.313.128 utenti di Facebook. Poiché si stima che nel 2021 questa piattaforma di social media sia arrivata a contare oltre 2,74 miliardi di utenti attivi nel mondo (fonte: Rapporto “Digital2021” di We are social), la quota di account pubblicati rappresenta circa il 20% di tutti gli utenti del mondo. Per l’Italia va molto peggio: nella “classifica per nazioni” si trova al quarto posto per numero di utenti presenti nel databreach, con 35.677.323 record pubblicati, in pratica circa il 90% di tutti gli account Facebook italiani. Questa la classifica delle dieci nazioni più colpite:

NazioneNumero di utenti
1Egitto44.823.547
2Tunisia39.526.412
3Italia35.677.323
4USA32.315.282
5Saudi Arabia28.804.686
6Francia19.848.559
7Turchia19.638.821
8Marocco18.939.198
9Colombia17.957.908
10Iraq17.116.398

Quali sono i dati violati e pubblicati

In dettaglio, per ciascun utente sono stati resi pubblici i seguenti dati:

  • Numero di telefono cellulare
  • Nome e Cognome
  • Sesso
  • Città e provincia di nascita
  • Data di nascita (formato data + ora, anche se non visibile sul profilo FB)
  • Attività lavorativa e relazioni sentimentali (“relationship status”)
  • Email (presenti solo in pochi casi)
  • UID Facebook (codice numerico del profilo Facebook).

Da analisi fatte, risulta che quasi ogni record utente contiene il numero di cellulare, un ID Facebook, un nome e il sesso. Molto meno presenti gli indirizzi email. Non ci sono password, che in ogni caso per essere utilizzate richiederebbero un’attività di dehashing, con tecniche di password cracking. L’identificativo UID Facebook in realtà non è un dato segreto. Si tratta di un codice numerico univoco che è associato ad un account ed identifica ogni singolo profilo Facebook e che può essere ricavato in modo semplice utilizzando servizi disponibili in rete, quali FB ID Finder.

Come si ricava l’UID Facebook

è sufficiente copiare l’URL Facebook di una utente (lo si ottiene cliccando sulla immagine del profilo della persona) ed incollarlo nel box di FB ID Finder e cliccare sul pulsante “Get ID”. A titolo di esempio abbiamo provato a farlo con il profilo di Mark Zuckerberg il cui URL è la seguente. Si scopre così che il suo UID è di una sola cifra ed è il numero 4. Per tutti gli altri utenti (che non siano il fondatore di Facebook!) il codice UID è un numero lungo del tipo “100010880xxxxxx”.

Perché il data breach di Facebook può essere pericoloso

Intanto perché oggi questi dati – seppure alcuni risalgano al data breach del 2019 – sono diventati di dominio pubblico, disponibili gratuitamente e quindi scaricabili da qualsiasi utente della rete. Il forum hacker dove è stato annunciato e messo inizialmente in vendita il database sottratto a Facebook non si trova del Dark Web come si potrebbe pensare, ma dentro un normale sito nel surface web, ricercabile con un comune motore di ricerca. In precedenza, erano anche stati diffusi a pagamento su un bot di Telegram lo scorso gennaio. Ora questo canale Telegram risulta chiuso.

Oggi, questo database è stato rilasciato gratuitamente sullo stesso forum di hacker per otto “crediti” del sito, una forma di valuta sul forum di hacker, pari a circa 2,19 dollari. E chiunque li potrebbe utilizzare per compiere attività di phishing mirato, quello che è conosciuto con il termine di “spear phishing”. Oggi oltre il 90% di tutti i cyber attacchi utilizzano il fattore umano e soprattutto l’email come vettore d’attacco. E se l’attaccante conosce molte e dettagliate informazioni sulla vittima da colpire potrà confezionare un attacco mirato, credibile e molto più efficace. Le informazioni più sfruttabili per un attacco sono quindi:

  • Nome e Cognome
  • Sesso
  • Città e provincia di nascita
  • Data di nascita (formato data + ora, anche se non visibile sul profilo FB)

Dal combinato di questi dati personali si potrà – per esempio – ricostruire il codice fiscale di una persona. Anche le informazioni su “Attività lavorativa e relazioni sentimentali” possono essere molto utili per profilare la vittima e compiere un phishing mirato. L’informazione più critica tra quelle pubblicate è probabilmente il numero di telefono, che molti utenti hanno inserito sul loro profilo Facebook. Forse l’hanno fatto dando seguito alla richiesta di Facebook o magari per attivare l’autenticazione a due fattori via SMS. Anche se questo numero è stato impostato come “privato”, quindi non visibile a chi visita il profilo, ora è diventato noto a tutti e presente nei database pubblicati.

Come funziona la SIM swap fraud

Infatti, un malintenzionato riesce a trasferire da una SIM card a un’altra il nostro numero di telefono. Portare a termine un’operazione di SIM swapping illegittima significa ottenere il completo accesso al numero di telefono del legittimo (e ignaro) proprietario di tale numero.

Si tratta di una truffa purtroppo diffusa, anche grazie alla scarsa attenzione da parte dei provider di telefonia, i cui operatori talvolta eseguono operazioni di “cambio SIM”, senza eseguire i dovuti controlli sul richiedente. Spesso può bastare una semplice telefonata del tipo: “Mi hanno rubato il telefono, mi serve un’altra SIM su cui riavere il mio numero…”, magari aiutata da qualche abilità di social engineering per convincere l’operatore.

Il problema è serio e per questo motivo l’Autorità Garante delle Comunicazioni (Agcom) sta intervenendo: nel dicembre 2020 ha pubblicato una prima delibera con nuove regole per rendere più sicuro il cambio SIM, imponendo obblighi più stringenti ai fornitori di servizi mobili.

La SIM swap fraud è utilizzata soprattutto per compiere truffe finanziarie. Laddove per eseguire operazioni dispositive (per esempio bonifici) è prevista l’autenticazione a due fattori via SMS, sarà il truffatore a ricevere l’SMS con i codici di autenticazione a due fattori (ovviamente dopo aver ottenuto, in genere con tecniche di phishing, le credenziali di accesso all’account di home banking).

Il proprietario dello smartphone si troverà con il dispositivo muto e disconnesso dalla rete. Quando si sarà reso conto che la sua SIM non è più attiva potrebbe essere troppo tardi e i soldi già scomparsi dal suo conto corrente.

Un altro rischio collegato alla conoscenza del numero di telefono è quello che questo numero è spesso utilizzato come sistema di autenticazione ed impiegato per le operazioni di “cambio password” negli account.

Tutti i servizi online prevedono il pulsante “Ho dimenticato la password”, utile per reimpostare una password dimenticata. Il link che permette di cambiare la password viene in genere inviato all’indirizzo email utilizzato dall’utente in fase di registrazione. Per maggior sicurezza, molti servizi richiedono anche la verifica di un numero di telefono (che l’utente ha precedentemente indicato) mediante l’invio di un SMS al numero medesimo.

Se l’attaccante ha accesso all’email della vittima (anche in questo caso potrebbe averne rubato le credenziali con tecniche di social engineering) ed ha preso il controllo anche del suo numero di telefono, potrà procedere facilmente all’account takeover, cioè impossessarsi di molti degli account di un utente.

Non dimentichiamolo mai: la violazione della casella email da parte di un malintenzionato, combinata con una SIM swap sul numero del cellulare rappresentano un passe-partout formidabile per un attaccante. A questo punto non ci avranno rubato una chiave, ma l’intero mazzo delle nostre chiavi.

Data breach, come evitare rischi

Ovviamente se i dati sono già stati pubblicati, non si potrà farli scomparire. Dobbiamo mettere in conto che il Dark Web (ma anche il surface Web, che noi tutti usiamo) è pieno di database contenenti miliardi di informazioni personali e soprattutto di password compromesse e rubate.

In questo specifico data breach – come detto – non compaiono password, ma altri dati, soprattutto nostri numeri di telefono.

Come verificare se tra i 533 milioni di utenti violati ci sono anche i nostri dati

Essendo i database ormai pubblici, sono comparsi in rete molti servizi che dovrebbero aiutarci a scoprire se il nostro telefono è tra quelli pubblicati.

Come segnala Arturo di Corinto, è apparso un sito con il nome “HaveIbeenFacebooked?”, creato da due italiani. Ma il Garante è intervenuto, valutando che tale sito violasse la privacy e ne ha disposto la chiusura. Oggi andando sull’URL seguente , questo risulta chiuso con la scritta “451 – Unavailable For Legal Reasons” ed è indicata la motivazione del Garante.

Nel frattempo è apparso un altro sito, creato da The News Each Day che offre il medesimo servizio. Ma trattasi di un sito sul quale la stessa comunità hacker ha manifestato molte perplessità, perciò ne sconsigliamo l’uso.

Abbiamo però un’altra opzione: consultare il noto sito “Have I Been Pwned?”, realizzato già dal 2013 dal famoso esperto australiano Troy Hunt e sulla cui credibilità non esistono dubbi. Troy ha valutato i pro ed i contro di un’operazione del genere (come ha espresso sul suo account Twitter @troyhunt):

E, come ha scritto nell’articolo sul suo blog, ha deciso di caricare il data breach sul sito Have i been pwned (che ora conta ben 11.145.906.797 di “pwned accounts”) e di rendere possibile la ricerca anche per i numeri di telefono. Troy Hunt precisa che la ricerca per numero di telefono vale solo per il data breach di Facebook, non per altri casi.

Ora nella homepage del sito è possibile digitare non solo l’email (come era in precedenza), ma anche il numero di telefono in formato internazionale, cioè nel formato E.164. In pratica, prendendo ad esempio un numero italiano, questo andrà digitato come: +39 3xx yyyyyyy (con o senza gli spazi).

Ho personalmente provato con numeri noti ed alcuni di questi (riferibili ad utenti Facebook che conosco) risultano effettivamente presenti nel data breach. Teniamo presente che circa il 90% degli utenti Facebook italiani sono coinvolti, ma non tutti hanno scelto di comunicare il loro numero di telefono a Facebook.

Le misure di sicurezza da adottare

Vediamo ora, in sintesi, quali sono le best practices che un utente dovrebbe adottare per minimizzare i rischi che questo data breach ha generato.

  • Cambiare la password del proprio account Facebook: in realtà in questo incidente le password non risultano coinvolte, ma si tratta comunque di una precauzione opportuna.
  • Non riutilizzare una password già usata per altri servizi: il “password reuse” rappresenta una pessima e pericolosa abitudine.
  • Attivare sull’account Facebook l’autenticazione a 2 fattori (2FA): questa è una misura che andrebbe adottata su tutti i nostri account importanti. A maggior ragione dopo la notizia di un data breach di questa dimensione. Dobbiamo essere consapevoli che un’autenticazione basata solo su password è intrinsecamente debole, anche se la password impostata è robusta, perché la sicurezza dell’account dipende da un solo fattore, appunto la password. Per innalzare i livelli di sicurezza sono state introdotte perciò le tecniche di “Strong Authentication” o autenticazione a due o più fattori, che oggi tutti i siti più noti rendono disponibile come opzione a scelta, da attivare a cura dell’utente. Solo per i servizi bancari è obbligatoria di default, in ottemperanza alla direttiva PSD2. Per vedere quali siti offrono l’autenticazione a due fattori e con quali modalità (possono essere più d’una, oltre a quella con SMS), consiglio di consultare il sito https://twofactorauth.org.
  • Non utilizzare per l’autenticazione a 2 fattori l’opzione “con SMS”: proprio per i motivi che abbiamo spiegato ed in particolare per il rischio di SIM swapping, la 2FA con SMS è l’opzione meno sicura. A maggior ragione ora che i numeri di telefono degli utenti Facebook sono diventati pubblici! Non usando SMS, eviteremo anche di comunicare a Facebook il nostro numero di telefono e questa è una misura che consiglio.

Facebook e l’utilizzo dei numeri di telefono

L’uso che Facebook fa dei numeri di telefono degli utenti è sempre stato molto ambiguo e con risvolti inquietanti per la privacy: fino al 2018 l’autenticazione a due fattori (2FA) su Facebook era possibile solo dando il proprio numero di telefono (al quale veniva inviato via SMS il codice numerico a 6 cifre di seconda autenticazione).

Tale numero di telefono doveva essere usato da Facebook solo per la 2FA, ma Jeremy Burge, fondatore di Emojipedia, ha scoperto che un numero di telefono registrato per la 2FA era ricercabile direttamente sul social.

In realtà questa impostazione può essere disabilitata dall’utente tramite la pagina dedicata nelle impostazioni Privacy di Facebook, ma l’impostazione predefinita alla voce “Chi può cercarti usando il numero di telefono che hai fornito?” è “Tutti”. E la maggioranza degli utenti non ne è neppure a conoscenza o non sa come modificarla.

Non solo: Gizmodo ha segnalato che il numero di telefono utilizzato per la 2FA veniva fornito anche agli inserzionisti per profilare i post.

Autenticazione a due fattori: cos’è, come e perché usarla, anche alla luce della PSD2

A seguito di queste scoperte, nel 2018 Facebook è stata obbligata ad offrire per la 2FA anche l’opzione alternativa con l’utilizzo di app dedicate (che generano il codice di verifica), quali Authy o Google Authenticator.

  • Impostare la 2FA con l’utilizzo di app dedicate: è una soluzione più sicura e da preferire al codice via SMS. In alternativa, è possibile utilizzare per la 2FA dispositivi hardware costruiti secondo lo standard FIDO U2F Security Key. Trattasi di uno standard di autenticazione open source, creato inizialmente da Google e da Yubico e successivamente confluito nella FIDO (“Fast IDentity Online”) Alliance. Sono le chiavette YubiKey di Yubico, oppure le Titan Security Key di Google.
  • Elevare il livello di privacy del profilo Facebook: impostare il profilo in modalità “privata” o comunque ridurre il numero di informazioni personali che un visitatore può visualizzare. Questo si può fare nelle “Impostazioni sulla privacy e strumenti” del profilo. In questo modo un eventuale attaccante non potrà vedere le nostre informazioni (o comunque le vedrà in minima parte), per diminuire la raccolta dati durante attività di social engineering. Teniamo sempre presente che i social media sono una delle principali fonti di raccolta di informazioni per le attività di OSINT (Open Source INTelligence) che sono propedeutiche ad un attacco.
  • Fare ancora più attenzione al rischio Phishing e Smishing: con nome, cognome, indirizzo, telefono, luogo di lavoro diventa ancora più facile realizzare attacchi mirati. È possibile, per esempio, ricostruire la sintassi dell’indirizzo email dell’azienda dove uno lavora. Una campagna mirata di spear phishing o smishing (“sms phishing”) sarà ancora più convincente nel farci cliccare sul link infetto o fraudolento se l’attaccante conosce la nostra data di nascita o il nostro codice fiscale.

Quindi dobbiamo aspettarci che questo data breach sia un fattore scatenante per nuove e più efficaci campagne di phishing. In conclusione: non possiamo impedire che nostri dati diventino pubblici, per colpa di altri.

Ma dobbiamo usare sempre la testa, perché la prima linea di difesa è sempre la consapevolezza dell’utente.

WEBINAR
[WEBINAR, 29 aprile] Garantire la sicurezza dei dati nell’era della collaboration online
Big Data
Sicurezza
@RIPRODUZIONE RISERVATA

Articolo 1 di 5