Facebook: dopo 2 anni i dati rubati preoccupano ancora

di Federica De Stefani, avvocato e responsabile Aidr Regione Lombardia

Nel 2019 i dati di oltre 500 milioni di utenti registrati su Facebook
sono finiti nelle mani degli hacker: il data breach è ormai vecchio di
un paio di anni, ma la preoccupazione che desta questa sottrazione è
estremamente attuale.
Quei dati, infatti, nonostante il tempo trascorso, rappresentano
ancora un pericolo reale e concreto per i soggetti ai quali sono stati
sottratti poiché potrebbero essere utilizzati per scopi illeciti.
La violazione, come detto avvenuta nel 2019, era stata causata da una
falla nel sistema di sicurezza e aveva reso disponibili dati personali
(tra i quali nome e cognome, indirizzo e-mail e numero di telefono) di
milioni di utenti appartenenti a diversi Paesi.
I dati erano circolati in alcuni forum di hacker, Facebook aveva
dichiarato di aver risolto il problema già nell’agosto dello stesso
anno e il leak non aveva suscitato grande attenzione mediatica molto
probabilmente per la difficoltà con la quale i dati messi in vendita
potevano essere consultati e utilizzati.
All’inizio di quest’anno, tuttavia, quegli stessi dati sono stati
utilizzati come database di un bot di Telegram che consentiva, a
prezzi più contenuti e con un sistema molto più facile da utilizzare,
di risalire al numero all’ID dell’account Facebook inserendo il numero
di cellulare (e viceversa).
Nelle ultime settimane i dati sono infine stati resi pubblici in
maniera gratuita da più fonti.
È evidente, a questo punto, che il danno è stato fatto, i dati sono
stati sottratti e sono (potenzialmente) esposti ad utilizzi illeciti.
Cosa fare quindi per limitare al massimo le possibili implicazioni
negative?
Se la regola generale prevede di immettere il minor numero di
informazioni possibili sui social network bisogna capire come potersi
proteggere laddove, come nel caso di specie, il data breach sia già
avvenuto e si debba correre ai ripari.
Partiamo dalla tipologia di dati che sono stati interessati dalla violazione.
Indirizzo email e numero telefonico in primis.
Inutile dire che per quanto concerne le caselle di posta elettronica è
necessario concentrare la propria attenzione sulle password,
modificandole utilizzando sistemi che possano garantire un alto
livello di sicurezza.
Divieto assoluto, quindi, di creare password che riportino
informazioni personali, direttamente ricollegabili alla persona in
questione o ai familiari, agli animali domestici o alle ricorrenze, a
soprannomi, squadre del cuore o sport praticati.
Meglio optare per un sistema di “passphrase”, che consente di generare
un codice alfanumerico ricollegabile ad una frase scelta dall’utente e
che può facilmente ricordare, o a un password manager che consente di
generare password con un alto livello di sicurezza senza doversi
occupare personalmente della memorizzazione delle stesse.
Può sembrare scontato, ma la password è la vulnerabilità alla quale
ancora oggi risulta più esposta la maggioranza delle persone se si
considera che secondo gli studi più recenti le password più utilizzate
nel 2020 sono state “123456” “password” e “qwerty” (per quest’ultima
controllate la sequenza dei tasti sulla tastiera di un qualsiasi pc).
Sempre per quanto riguarda le mail è indispensabile controllare con
estrema attenzione il mittente poiché molto spesso gli indirizzi
utilizzati per le truffe sono simili e possono trarre in inganno,
divergendo dall’originale magari per un solo carattere. È quindi
necessario verificare con attenzione l’indirizzo esteso, prestando
attenzione anche alla tipologia di messaggio che si riceve. Richieste
di dati, di accedere a link, di scaricare allegati devono essere
trattati con estrema cautela, effettuando un doppio controllo
preventivo, magari interpellando il mittente con una telefonata per
accertarsi della veridicità del messaggio e della richiesta contenuta
nello stesso. È indispensabile approcciarsi con la stessa diffidenza
anche alle richieste di dati che dovessero essere contenute in sms o
effettuate a voce da chi vi contatta telefonicamente.
Per quanto riguarda, invece, il numero di telefono è fondamentale
monitorare eventuali anomalie riscontrate sul proprio numero di
cellulare.
In primo luogo è necessario che qualsiasi irregolarità nel
funzionamento venga verificata attraverso il proprio operatore
telefonico, ma è altresì fondamentale prestare attenzione a tutti quei
messaggi che possano, in qualche modo, carpire (ulteriori) dati utili
ai criminali per raggiungere il proprio intento, ritornando ancora una
volta alle richieste di dati personali, di codici di autenticazione o
password segrete per l’attivazione di specifici servizi.
È opportuno, inoltre, eliminare da Facebook (e da altri social
network) il proprio numero di telefono, utilizzando altri metodi per
l’autenticazione a due fattori, qui non di certo in ottica di
protezione, ma di prevenzione per il futuro.
Per chi volesse infine verificare se la propria mail è stata oggetto
di un data breach, non necessariamente quello di Facebook, è possibile
consultare il sito https://haveibeenpwned.com/ che permette di
identificare eventuali violazioni nelle quali è stato coinvolto il
proprio indirizzo mail.