La settimana nera dei data leak: in vendita nel dark web i dati di 500 milioni di utenti Facebook e 500 milioni di utenti Linkedin

La settimana dopo Pasqua si è aperta con una notizia che ha avuto un'eco gigantesca: durante il fine settimana di Pasqua sono stati pubblicati online, su un popolare forum di hacking, i dati di oltre 533 milioni di utenti Facebook. Tra questi figura addirittura il fondatore di Facebook, coinvolto personalmente dal leak. Ciò che rende particolarmente allarmante questo leak è il fatto che i record contengono dati disponibili pubblicamente sui profili utente, ma anche i numeri di telefono associati. 

In realtà il furto dei dati non è avvenuto nel periodo di Pasqua, ma nel 2019. La ricostruzione della dinamica dei fatti già vede contrapposti esperti di sicurezza da una parte e Facebook dall'altra: se alcuni ricercatori attribuiscono il furto dei dati ad una vulnerabilità della funzione "Add friend", corretta appunto nel 2019 da Facebook, nella ricostruzione ufficiale di Big F invece si parla di "semplice scraping". Secondo Facebook quindi non ci sono state violazioni dei sistemi, ma solo la raccolta di dati che erano pubblicamente disponibili sui profili degli utenti. 

I dati sono stati messi in vendita, prima ad un prezzo bassissimo (2.19 dollari statunitensi) poi gratuitamente, in un forum di hacking piuttosto frequentato: il bassissimo costo di un set così grande di dati non deve stupire perchè tali dataset vengono pubblicati per la vendita sui forum solitamente dopo che sono già stati venduti a prezzi ben più alti in contrattazioni private. 

Particolarmente preoccupante il numero di utenti italiani riguardati: l'Italia è la terza nazione più colpita al mondo con 35.677.323 record pubblicati appartenenti ad utenti italiani. 

• Egitto - 44.823.547
  
• Tunisia - 39.526.412
• Italia - 35.677.323
• USA - 32.315.282
• Arabia Saudita- 28.804.686

I dati sottratti e pubblicati sono stati:

• Numero di telefono cellulare;
• Nome e Cognome;
• Sesso;
• Città e provincia di nascita;
• Data di nascita (formato data + ora, anche se non visibile sul profilo FB);
• Attività lavorativa e relazioni sentimentali (“relationship status”);
• Email (presenti solo in pochi casi);
• UID Facebook (codice numerico del profilo Facebook).

E se il Garante irlandese si è già mosso aprendo un'istruttoria sulla vicenda, anche il Garante italiano è intervenuto scrivendo direttamente a Facebook e imponendo alcune misure: prima di tutto la nostra authority ha imposto di rendere immediatamente disponibile un servizio che consenta agli utenti italiani di verificare eventuali violazioni del proprio numero di telefono o del proprio indirizzo email. Nel frattempo il Garante ha anche allertato gli utenti riguardo ai rischi ai quali sono esposti coloro che hanno subito il data leak: non solo furto di identità, ma anche il rischio di "sim swapping" ovvero una tecnica di attacco che consente di avere accesso illegittimo ad un numero di telefono per violare una serie di servizi online che usano proprio io numero di telefono come sistema di autenticazione. E' fondamentale quindi prestare attenzione a qualsiasi anomalia gli utenti dovessero riscontrare sulla propria utenza telefonica, soprattutto l'improvvisa perdita di campo anche in luoghi dove solitamente c'è buona ricezione. 

Alcuni consigli > Come limitare i danni per la violazione dei dati di 36 milioni di utenti Facebook italiani - Intervento di Guido Scorza su "MilanoFinanza"

Se sei un utente Facebook e vuoi verificare l'eventuale violazione del tuo account, è ad ora disponibile un servizio sicuro, ma offerto da terze parti - https://haveibeenpwned.com

Neppure il tempo, comunque, di correre ai ripari dal leak di Facebook che gli esperti di sicurezza iniziano a segnalare un secondo, enorme, data leak: appena due giorni dopo la pubblicazione dei dati degli utenti Facebook, viene pubblicato nel dark web un archivio contenente i dati di 500 milioni di profili Linkedin. Un numero enorme, se pensiamo che il social ha circa 740 milioni di iscritti: è quindi bene che la totalità deli utenti italiani su Linkedin, ovvero 21 milioni, si consideri da ora esposto ad attività criminali e truffaldine. Tra i dati pubblicati risultano indirizzi email, numeri di telefono, link agli altri profili social e dettagli professionali di vario tipo: sono tutte informazioni personali che adesso possono essere usati per ulteriori truffe e attacchi online. 

Il dataset è in vendita per 1.800 dollari, ma con 2 soli dollari il "venditore" offre la possibilità di avere accesso ai dati di 2 milioni di profili, anche come  riprova dell'esistenza effettiva del database. 

Anche in questo caso, hanno dichiarato da Linkedin, dovrebbe trattasi di dati derivanti da attività di semplice scraping eseguita tramite strumenti di automazione come API o specifici tool. Lo scraping non è di per sé illegale e consiste nella raccolta di dati che sono ottenuto richiedendo informazioni direttamente al portale che ospita tali dati: nel caso di Linkedin sono stati diffusi, infatti, solo dati pubblicati dagli utenti stessi e/o condivisi coi propri contatti. Dati i rischi però, lo scraping è ormai vietato dalle principali piattaforme e gli utenti sono obbligati a sottostare al divieto tramite accettazione dei termini di servizio. 

Il Garante italiano si è mosso anche nei confronti di Linkedin, aprendo un'istruttoria per approfondire il data leak e adottando un provvedimento nel quale specifica bianco su nero come sia assolutamente vietato utilizzare dati personali illegalmente sottratti (illecito trattamento): di conseguenza ogni eventuale utilizzo può comportare carattere sanzionatorio.