Come potrebbero essere utilizzati i dati di mezzo miliardo di utenti di Facebook?

Come potrebbero essere utilizzati i dati di mezzo miliardo di utenti di Facebook?

Articolo in italiano
di Andrea Ceccherini

Un ricco elenco di dati su circa 533 milioni di utenti di Facebook è stato pubblicato su un forum di hacker durante il primo fine settimana di Aprile ed è ancora disponibile per il download (gratuitamente). I dati sono stati pubblicati in un forum di criminali informatici di lingua inglese chiamato Raid Forums da un hacker che si chiama Tom Liner. “I dati di Facebook sono stati messi in vendita per la prima volta nella storia su Raid Forums il 6 giugno 2020, ma la vendita iniziale avrebbe richiesto agli utenti 30.000 dollari in cambio dei dati”, ha spiegato Ivan Righi, analista di cyber threat fornitore di soluzioni digitali per la protezione dai rischi.

Facebook ha affermato di essere sicura che le informazioni pubblicate siano “vecchi dati” originati da una debolezza nella sua funzione di impostazione di contatti che è stata scoperta e corretta nell’agosto 2019. A quel tempo, ha spiegato, la società ha rimosso la capacità delle persone di cercare (e trovare!) direttamente gli altri utilizzando il proprio numero di telefono sia su Facebook che su Instagram, una funzione che poteva essere sfruttata anche utilizzando un codice software sofisticato per imitare Facebook e fornire un numero di telefono per trovare a quali utenti fosse appartenuto. Utilizzando quel software era stato possibile inserire più numeri di telefono e, eseguendo un preciso software, collegare i numeri a utenti specifici. Attraverso questo processo era possibile interrogare i profili degli utenti e ottenere una quantità limitata di informazioni pubblicamente disponibili.

Sebbene i dati possano essere vecchi, hanno ancora valore per gli hacker secondo gli esperti di sicurezza informatica.  I criminali informatici possono utilizzare informazioni quali numeri di telefono, e-mail e nomi completi per lanciare attacchi mirati di ingegneria sociale, come phishing, vishing o spam. Poiché la maggior parte degli utenti lavora ancora da casa a causa della pandemia, questi attacchi potrebbero essere efficaci se personalizzati per colpire le vittime.

Essere nel mezzo di una pandemia può anche aggiungere valore ai dati riciclati dalla violazione di Facebook : avere accesso a tutti i dati può essere una pepita d’oro per i criminali che orchestrano campagne di spam o truffe di grandi dimensioni, molte delle quali sono state adattate a temi di pandemia, d esempio politiche di mascherine, restrizioni geografiche o scenari di tracciabilità. Saryu Nayyar, CEO di Gurucul , una società di intelligence sulle minacce in California, ha aggiunto che l’ambito globale della pandemia può essere una grande risorsa per i truffatori “armati di dati” dalla violazione di Facebook.

Ad esempio…le ricerche su Google relative ai vaccini negli Stati Uniti sono aumentate del 1.900% da gennaio. Questo dimostra che gli americani stanno diventando sempre più ansiosi di ottenere il loro vaccino Covid-19 e potrebbe essere un facile bersaglio per gli hacker. A dicembre l’Interpol ha emesso un avviso per le  forze dell’ordine in 194 paesi, avvertendole di prepararsi per i crimini che ruotano attorno ai vaccini Covid-19 (truffe). Gli investigatori hanno anche segnalato attività legate ai vaccini sul Dark Web.

Nel corso degli anni, il social network è stato l’obiettivo di una serie di violazioni dei dati da prima pagina. Facebook è stato colpito da incidenti di dati da ogni angolazione, ha lasciato i dati degli utenti su server esposti, ha permesso agli sviluppatori di app di abusare dell’accesso agli account utente e ha lasciato bug nel codice che gli hacker potevano sfruttare per rubare i dati. Inoltre, la maggior parte dei profili Facebook sono pubblici, il che significa che terze parti possono raschiarli usando i bot. La sicurezza dei dati e la privacy non sono mai state in cima alle menti degli sviluppatori di Facebook quando hanno costruito la piattaforma, d’altra parte, la piattaforma mirava a monetizzare i dati degli utenti. Quando si progettano prodotti o piattaforme che “nascono” senza alcuna attenzione alla sicurezza e alla privacy diventa molto difficile tornare indietro e adattare quelle capacità”.

Condividi sui social