Ecco i database rubati a Facebook. Che cosa possono farne gli hacker

Il telefono non è più soltanto la tua voce, ma uno strumento per vivere appieno la vita onlife, la fusione tra la vita digitale e quella analogica. E il tuo numero di telefono non è più soltanto un modo di farsi trovare e parlare, ma lo strumento per certificare che sei proprio tu che stai ordinando una pizza, che vuoi un servizio dal comune o autorizzi la transazione con la banca. Il numero di telefono, insieme al nostro nome e all’email, ormai ci apre tutte le porte della vita online. O ce le chiude. Perciò anche se lo diamo a tutti, ce lo dovremmo tenere stretto. Insieme a tutte le informazioni che ci riguardano da vicino. Pochi giorni fa un ricercatore israeliano ha scoperto l’esistenza di 533 milioni di profili Facebook in vendita in un forum di hacker. Per ogni profilo sono indicati nome, numero di telefono, email, relazione sentimentale, posizione lavorativa e appartenenza a gruppi Facebook. Solo per l’Italia sono censite 35.677.338 utenze ma sono 108 le nazioni elencate nella raccolta. Dall’India a Panama passando per l’Arabia Saudita, ogni paese ha i suoi numeri vicino: 5 milioni di olandesi, 3 milioni di palestinesi, 8.064.916 brasiliani e così via.

Nel cluster italiano ci sono molti politici, la sindaca Virginia Raggi, consulenti finanziari, avvocati, giornalisti e manager dei maggiori gruppi editoriali, dalla Rai e RCS, anche del gruppo Gedi. E che Repubblica ha verificato a campione. Si tratta di 12 GB di dati testuali. Secondo Alon Gal – il ricercatore che ne ha segnalato su Twitter la compravendita in corso all’inizio del 2020 per metterli insieme – sarebbe stata sfruttata una vulnerabilità che consentiva di vedere il numero di telefono collegato a ogni account Facebook, creando poi un database contenente le informazioni di 533 milioni di utenti in tutti i paesi. Facebook successivamente ha dichiarato alla rivista Motherboard che i dati si riferiscono a una vulnerabilità che la società ha risolto nell’agosto 2019, riferendosi probabilmente a una differente compilation. Prima di quella data il social aveva incoraggiato gli utenti a fornire il proprio numero telefonico per aumentarne la sicurezza. E oggi è possibile usare il numero di telefono al posto dell’email per autenticarsi nella piattaforma social. Il database potrebbe essere il risultato dell’addizione di uno già esistente, che conterebbe 370 milioni di record.

In early 2020 a vulnerability that enabled seeing the phone number linked to every Facebook account was exploited, creating a database containing the information 533m users across all countries.

It was severely under-reported and today the database became much more worrisome 1/2 pic.twitter.com/ryQ5HuF1Cm

— Alon Gal (Under the Breach) (@UnderTheBreach) January 14, 2021

Ma il fatto più inquietante è che il rapinatore digitale in possesso del database ha creato un bot di Telegram a pagamento per interrogarlo, consentendo a chiunque di trovare i numeri di telefono collegati agli account Facebook.

Secondo Gal – che contattato da Repubblica non ha voluto fornire ulteriori dichiarazioni – al momento del lancio, il bot di Telegram consentiva ai richiedenti di inserire un numero di telefono per ricevere l’ID Facebook dell’utente corrispondente e viceversa. I risultati iniziali del bot venivano oscurati, ma gli utenti potevano acquistare crediti per rivelare il numero di telefono completo. Un credito era di 20 dollari, ma i prezzi arrivavano fino a 5.000 dollari per 10.000 crediti. Facebook ha affermato di aver testato anche il bot stesso rispetto a dati più recenti e che il bot non ha restituito alcun risultato.

Per fortuna il 27 gennaio gli amministratori di Telegram hanno bannato il bot. Motivo per cui l’offerente ha dichiarato nello stesso forum: “ne sto facendo uno privato per gli utenti paganti. Scrivetemi in privato se siete interessati”. Sia l’indirizzo del bot scoperto da Gal che il link per scaricare il dump completo (la copia dei dati) da 370 milioni di record non sono più presenti sulla piattaforma dove campeggiano alcuni tra i maggiori databreach degli ultimi anni, da Vodafone a Mashable fino ai dati degli elettori di molti stati americani. Con un annuncio inquietante, la disponibilità dei 5 più grandi database rubati degli ultimi anni: Combo + AntiPublic.

Il prezzo della privacy

Anche se il dump dei dati di Facebook e il bot non sono più raggiungibili, è possibile che i dati in esso contenuti siano finiti negli hard disk di delinquenti e malfattori, ma anche di concorrenti sleali, investigatori privati, addetti al recupero crediti, spioni di stato. E tutto questo ha ovviamente un enorme impatto sulla privacy. Vediamo perché.

Social engineering

Mentre è normale che molti vogliano mantenere riservato il proprio numero di telefono per evitare seccatori, minacce o scherzi di cattivo gusto, nella logica degli attacchi basati sul social engineering (ingegneria sociale), ogni dato che consente di risalire a un altro è un piccolo passo nella direzione della profilazione della vittima, di truffe mirate e del furto della sua identità digitale.

E secondo Pierguido Iezzi, Ceo e fondatore di Swascan, “Prima o poi questi attacchi avranno una base di machine learning completamente automatizzata sulla base degli interessi raccolti. Ma il vero rischio è che la non corretta gestione del proprio account mette a rischio tutti i nostri contatti. Perciò non possiamo abbassare la guardia, mai”.

Phishing e smsishing

Con nome, cognome e luogo di lavoro è possibile ricostruire la sintassi dell’indirizzo email del posto dove uno lavora. Conoscendo l’email è possibile realizzare delle campagne di phishing o SMSishing mirate. Una campagna mirata di “email phishing” o “sms phishing” sarà più efficace nel farci cliccare sul link infetto o fraudolento se l’attaccante conosce la tua data di nascita per farti credere che “Ti stiamo consegnando un pacco per il tuo compleanno.”

Account takeover

Ma se ho la tua email e sono interessato alla tua attività di avvocato, giornalista, parlamentare, capace di pagare un riscatto per mantenere segrete le informazioni che ti riguardano, posso andare su un sito di dataleak (“dati trapelati”) come “Have I been Pwned!” e associare la tua email a una password già rubata (se lo fate e trovate la vostra email, cambiate password).

In questo caso, complice la cattiva abitudine di usare la stessa email e la stessa password (il fenomeno del “password reuse”) per servizi diversi, da Amazon a Facebook a LinkedIn, è possibile fare due cose: la prima è entrare nel profilo della vittima, modificare login e pwd estromettendo il legittimo proprietario dal suo account; la seconda è entrare nel profilo, accedere ai dati privati, “rimanere in ascolto” e usarli per altri attacchi.

Furto d’identità

Ma se entro nella tua posta elettronica ovviamente avrò accesso alla corrispondenza con l’avvocato o il medico, agli hobby e ai segreti della tua vita perché ormai usiamo l’email per fare di tutto: scaricare l’app per la dieta, scegliere percorsi sportivi, monitorare lo stato di salute e autenticare la nostra identità. Con email e password posso impersonare il fornitore a cui l’ufficio acquisti deve pagare una fattura e dargli un conto corrente truffaldino. Si chiama BEC (Business email compromise).

Qualcosa di simile si può fare col telefono. Ad esempio quando contattiamo il nostro operatore di servizi telefonici, e che ci offre anche la connettività Internet, dicendogli che non riusciamo ad accedere al telefonino, magari rubato alla vittima di cui conosciamo il nome, e dirgli che abbiamo bisogno del “codice puk” di sblocco. Basterà dargli alcuni elementi anagrafici che ho preso dal database rubato o che ho raccolto nel tempo.

Sim Swapping

Più grave ancora, potremmo usare nome, cognome, data di nascita, email e telefono per il sim swapping, lo scambio di sim, cioè in sintesi, la clonazione di un numero di telefono altrui. Mandiamo un prestanome presso un rivenditore di servizi telefonici, questi dichiara di aver perso portafogli e telefono, ne compra uno nuovo e chiede un duplicato della carta sim dimostrando di sapere rispondere a tutte le domande sulla nostra anagrafica perché le conosce già dopo il furto di credenziali.

A quel punto possiamo contattare la rete di rapporti del malcapitato proprietario del numero che abbiamo preso in ostaggio e mandare messaggi via sms, WhatsApp o altro, per agire al posto suo, farci mandare i pacchi postali a un altro indirizzo, richiedere un pagamento urgente, provare a imbrogliare la banca online, eccetera, eccetera. Per il CertFin, il consorzio per la prevenzione del crimine informatico, “è un processo complesso e costoso. Per frodare le banche ad esempio bisogna costruire un profilo preciso del target con cui chiamare la banca, farsi ridare le password e poi ottenere una nuova sim per generare la one-time-password col telefono”. Per questo ha progettato con gli operatori un servizio che blocca le operazioni sospette associate a una sim cambiata da pochi giorni.

Secondo i dati di un rapporto dell’azienda di cybersecurity Clario, Facebook possiede il 70,59% di tutti i dati che un’azienda può raccogliere legalmente su ciascuno di noi. Segue Instagram, sempre di proprietà di Facebook, che raccoglie il 58,82% di tutti i dati disponibili. Ecco perché la vendita dei nostri profili online dovrebbe preoccuparci.