HaveIBeenFacebooked e i (possibili) rischi di essere finiti nel leak

“Ogni parola ha conseguenze. Ogni silenzio anche.”
Jean-Paul Sartre

“Cosa potranno mai farci con il mio numero di cellulare?” mi ha risposto un amico quando l’ho avvisato che era finito, anche lui, nel gigantesco database di 35 milioni di record esfiltrati da Facebook a fine 2019.

Non è difficile verificarlo, grazie ad alcuni portali e servizi che si sono attivati per permettere agli utenti di sapere se i loro dati personali erano alla mercé di chiunque: uno, italianissimo e sviluppato da due ragazzi giovanissimi, è HaveIBeenFacebooked.com. Una alternativa è HaveBeenZucked.com, anche se la base dati a cui fa riferimento, da alcune prove fatte, non sembra completa.

Per i soli indirizzi e-mail, come già avevo indicato nel precedente articolo, si è già attivato anche haveibeenpwned.com.

Ovviamente nessuno dei portali mostra i dati pubblicati: semplicemente, confermano o meno se un certo valore (numero di cellulare, indirizzo e-mail o Facebook ID) è presente.

Nel caso siate anche voi presenti nel leak, pur essendo in ottima compagnia (con 35 milioni di record, l’Italia si è confermata tra i paesi maggiormente compromessi), consiglio vivamente di aumentare il proprio livello di attenzione.

Tornando alla domanda iniziale, infatti, chiunque abbia il vostro numero di cellulare privato e tutti gli altri dati relativi alla vostra vita privata (ovviamente parliamo dei dati che pubblichiamo volontariamente sui social network) può effettuare una serie di “attacchi” ai vostri danni.

Phishing/Smishing

Il più banale e scontato sono attacchi di phishing/smishing usando la vostra e-mail e/o numero di cellulare. Unito al vostro nome e cognome reale, oltre a eventuali foto e informazioni che avete pubblicato in giro per Internet (Facebook compreso, ovviamente), è facile lanciare attacchi per rubarvi i dati della carta di credito o altre credenziali. La conoscenza, infatti, genera fiducia: uno dei punti a favore dell’attaccante che può lanciare campagne di attacco mirate includendo le informazioni personali.

Gentile NOME COGNOME,

la sua carta di credito collegata al numero di cellulare NUMERO DI CELLULARE ha appena autorizzato un addebito di MOLTISOLDI a favore di NEGOZIOFAMOSO. 

Cliccare sul link per annullare la transazione: LINKMALEVOLO

Ovviamente, l’attaccante può anche inviarvi una comunicazione analoga via SMS (smishing). Magari emulando proprio gli SMS di notifica inviato dalla Vostra banca: nel database, oltre a questi dati, c’è anche la “Biografia”: sono oltre 43.000 i record che hanno “Banca” in questo campo…

SIM Swapping

Gli attacchi non vanno mai considerati singolarmente ma nel complesso di un numero straordinariamente elevato di compromissioni che, negli ultimi anni, stanno flagellando servizi e servers sulla Rete. Uno dei bottini più ambiti sono i documenti d’identità (Carte d’Identità, Passaporti…) che, insieme alla conoscenza del numero di cellulare, e quindi anche dell’operatore su cui tale numero è attestato (chiamando il numero 456[NUMERO DI CELLULARE] una voce automatica comunica l’operatore), e a un operatore compiacente, permettono di effettuare un attacco di SIM swapping, ovvero “cambio carta SIM“, a nostra insaputa. Ovviamente ce ne accorgiamo, perché il nostro smartphone perde la connessione alla rete cellulare ma, nel frattempo, l’attaccante avrà già preso possesso delle nostre chat WhatsApp, eventuali SMS per l’autenticazione 2FA e molto altro…

Bullismo e violenza

Pensiamo a quante ragazze e ragazzi sono stati presi di mira da bulli e i loro cellulari inondati di messaggi violenti e minacciosi. Magari costretti a cambiare numero, per non farsi più molestare, oggi se lo ritrovano pubblico sul Web, alla mercé di chiunque voglia proseguire con le angherie.

A tutte quelle donne e uomini che, presi di mira da persone violente o disturbate, hanno dovuto cambiare numero per non farsi molestare. Che oggi si ritrovano tale numero pubblico.

A tutte quelle ragazze o ragazzi che, per motivi di riservatezza, non volevano dare il proprio numero di cellulare privato a qualcuno.

Ai nostri figli, minorenni, iscritti a Facebook perché “ci sono tutti i miei amici”, che si ritrovano il proprio numero di cellulare esposto pubblicamente.

A chi magari ha dovuto subire una separazione violenta o problematica, adoperandosi per scomparire da certe persone.

A persone politicamente esposte (ovviamente ci sono numeri e riferimenti di sindaci, parlamentari, eurodeputati…) che avrebbero gradito riservatezza per i loro contatti personali.

Insomma, l’elenco potrebbe essere lungo e sicuramente non esaustivo di tutte quelle situazioni per le quali non è gradito né piacevole avere il proprio numero di cellulare sul web. Al quale si aggiunge una serie di curiosi aneddoti di persone che riferiscono di non aver mai comunicato il proprio numero di cellulare a Facebook, però ritrovandoselo pubblicato nel database: cattiva memoria o c’è qualcosa che non quadra?

Oltretutto, recuperare il profilo partendo dal Facebook ID (contenuto nel leak) è semplicissimo: basta visitare la pagina www.facebook.com/profile.php?id=[Facebook ID] per risalire al proprietario univoco di quel certo numero di cellulare.

Mentre attendiamo che il Garante della Privacy italiano intervenga a fare chiarezza su una questione che vede coinvolti milioni di italiani, proviamo a limitare i potenziali danni.

Mitigare e limitare i danni

Senza farsi prendere dall’ansia, la prima cosa da fare è verificare sui servizi che ho indicato la propria esposizione.

Se il nostro numero di cellulare è presente nel database, siamo a rischio degli attacchi che ho sopra descritto. Come prima cosa, consiglio di rivedere la privacy del proprio profilo Facebook, limitando al massimo l’esposizione delle proprie informazioni e foto a chiunque.

Drizzare le orecchie su qualunque mail e/o sms sospetto, evitando di cliccare su link sconosciuti o allegati alle mail e agli SMS: nel caso, usare i consueti canali di home banking per verificare eventuali comunicazioni. MAI, e questo vale comunque in ogni situazione, cliccare sui link contenuti nelle e-mail senza averli attentamente verificati.

Potrebbero arrivare telefonate di marketing aggressive, sfruttando le nuove informazioni disponibili: ricordatevi che il Garante della Privacy è a vostra disposizione per tutelarvi sull’uso indebito e non autorizzato dei Vs dati personali. Registrare il numero e, se possibile, anche la telefonata può essere un valido aiuto in caso di azioni legali.

Se possibile, o se comunque non causa troppo disagio, cambiare numero di telefono potrebbe aiutarvi a dormire sonni più tranquilli.

Per finire

Ogni perdita di controllo sulle proprie informazioni personali, che sia il numero di telefono, l’e-mail o la foto di famiglia, ci espone a nuovi rischi a cui ancora non siamo del tutto abituati. La sera, prima di andare a dormire, verifichiamo sempre che porte e finestre siano chiuse per evitare che sconosciuti possano entrare nelle nostre case e impadronirsi dei nostri beni: perché non facciamo lo stesso anche con i nostri “beni” virtuali? Il cambiamento epocale che stiamo vivendo grazie a Internet è stato talmente repentino da non aver ancora mutato le nostre abitudini e consuetudini, che richiedono spesso decenni. E poi c’è la responsabilità di chi detiene i nostri dati, che ha l’obbligo di proteggerli e conservarli con cura.

I nostri dati, dati personali, biometrici, comportamentali, sono al centro di uno scontro politico-economico-sociale che ancora oggi molti faticano a vedere. Proteggiamoli, prima che sia troppo tardi.

Exit mobile version