La scoperta di TechCrunch: un database con oltre 419 milioni di dati degli utenti Facebook esposto in rete

Facebook è finita in un nuovo scandalo, anche questa volta connesso alla privacy: un database con dentro i record di decine di milioni di utenti – compresi i numeri di telefono – è stato scoperto online, accessibile a tutti.

Ne parlo in questo articolo, che ho pubblicato su Agenda Digitale.

Si tratta di un episodio molto grave, che riporta l’attenzione sull’uso ambiguo che il social di Menlo Park fa dei nostri dati e potrebbe esporre i numeri coinvolti al rischio di clonazione della SIM.

Veniamo a quanto ha scoperto TechCrunch, un autorevole blog statunitense che si occupa di tecnologia e di informatica.

Secondo quanto pubblicato il 4 settembre da TechCrunch (e la notizia è stata rilanciata poi anche da MacRumors) è stato individuato in rete un server contenente un database con oltre 419 milioni di dati degli utenti di Facebook. Il server contenente questi dati non era protetto con una password ed era quindi accessibile per chiunque.

La scoperta è stata fatta da Sanyam Jain, ricercatore di sicurezza e membro della GDI Foundation (organizzazione non-profit che ha come scopo la difesa di un’Internet libera, aperta e più sicura) che ha trovato il database e ha contattato TechCrunch, dopo che non è riuscito a trovare il proprietario. Ma dopo che TechCrunch ha provato a contattare l’host web, il database è stato messo offline.

Dall’indagine fatta dagli scopritori, il database comprendeva 133 milioni di record di utenti di Facebook negli Stati Uniti, 18 milioni di utenti nel Regno Unito e 50 milioni di utenti in Vietnam. Non si sa se siano presenti anche numeri di italiani.

Ogni record conteneva un ID Facebook dell’utente e il numero di telefono collegato all’account. L’ID Facebook di un utente è un numero lungo ed univoco che può essere associato ad un account per scoprire lo username di una persona.

L’uso che Facebook fa dei numeri di telefono degli utenti è sempre stato molto ambiguo e con risvolti inquietanti per la privacy: fino ad un anno fa l’autenticazione a due fattori (2FA) su Facebook era possibile solo dando il proprio numero di telefono (al quale veniva inviato via SMS il codice numerico di seconda autenticazione).

Tale numero di telefono doveva essere usato da Facebook solo per la 2FA, ma Jeremy Burge, fondatore di Emojipedia, ha scoperto che un numero di telefono registrato per la 2FA era ricercabile direttamente sul social.

In realtà questa impostazione può essere disabilitata dall’utente tramite la pagina dedicata nelle impostazioni Privacy di Facebook, ma l’impostazione predefinita alla voce “Chi può cercarti usando il numero di telefono che hai fornito?” è “Tutti”. E la maggioranza degli utenti non ne è neppure a conoscenza o non sa come modificarla.

Non solo: Gizmodo ha segnalato che il numero di telefono utilizzato per la 2FA veniva fornito anche agli inserzionisti per profilare i post.

Quanto accaduto è grave, sia per evidenti ragioni di violazione della privacy, ma anche -e soprattutto – per gli “effetti collaterali” connessi ad un possibile utilizzo fraudolento dei numeri di telefono esposti: parliamo della “SIM Swap fraud”, cioè la clonazione della SIM.

Si tratta di una truffa che si sta diffondendo in modo preoccupante e che può consentire ad un malintenzionato di violare i nostri account.

In pratica, se questi conosce il numero di telefono collegato ad un account può riuscire ad ottenere un trasferimento del numero su un’altra SIM in suo possesso, riuscendo poi ad impossessarsi dell’account.

Questa operazione non dovrebbe essere possibile, ma i controlli da parte degli operatori telefonici sono spesso inadeguati e può bastare una semplice telefonata del tipo: “Mi hanno rubato il telefono, mi serve un’altra SIM su cui riavere il mio numero…”, magari aiutata da qualche abilità di social engineering per convincere l’operatore.

Entrato in possesso del nostro numero, il truffatore avrà facilmente accesso a qualsiasi cosa collegata a quel numero di telefono: sarà lui, ad esempio, a ricevere via SMS i codici di verifica a due fattori del nostro account. Ma potrà anche utilizzarlo per la reimpostazione della password, entrando quindi in possesso dell’account, al quale il legittimo proprietario non riuscirà più ad accedere. E se si tratta di account bancari o Paypal (come mi è capitato di vedere) i danni possono essere significativi.

In conclusione, il social di Zuckerberg sembra pericolosamente vicino al punto in cui i modi spregiudicati con cui opera (e tratta i nostri dati) non saranno più tollerati . Negli stessi momenti in cui TechCrunch annunciava la scoperta del database, il senatore democratico dell’Oregon, Ron Wyden, dichiarava in un’intervista che Mark Zuckerberg “ha ripetutamente mentito al popolo americano sulla privacy. Penso che dovrebbe essere ritenuto personalmente responsabile, con sanzioni finanziarie e – permettetemi di sottolinearlo –fino  alla possibilità di una pena detentiva”.

Ma non è finita qui: venerdì 6 settembre il procuratore generale dello Stato di New York, Letitia James, ha aperto un’indagine su Facebook, dichiarando che “Il maggiore social del mondo deve seguire la legge”. All’azione del procuratore di New York si sono aggiunti altri otto stati (Colorado, Florida, Iowa, Nebraska, North Carolina, Ohio, Tennessee e il Distretto di Columbia),  con lo scopo di valutare la posizione dominante di Facebook nel mondo dei social e la sua potenziale condotta anti competitiva.

Ed un’indagine antitrust appare quanto mai matura, poiché la società di Zuckerberg ha ormai una posizione di monopolio sui social: Facebook, Instagram, Messenger e WhatsApp fanno parte dello stesso gruppo ed occupano quattro delle prime sei posizioni come numero di utenti attivi nel mondo. Gli unici che riescono ad entrare nei primi posti di questa classifica sono YouTube e WeChat, rispettivamente al secondo e quinto posto (fonte Wearesocial 2019).

In questo link si trova il testo completo dell’articolo “Privacy Facebook, perché è grave la minaccia ai numeri di telefono”, scritto per Agenda Digitale, testata del Network Digital 360.


© Copyright 2019 Giorgio Sbaraglia
All rights reserved.

Quest’opera è distribuita con Licenza Creative Commons Attribuzione – Non commerciale – Non opere derivate 4.0 Internazionale.

Lascia un commento