Ci sono nomi e cognomi, numeri di telefono, indirizzi fisici ed email, date di nascita, genere e persino datori di lavoro nell'enorme database di 533 milioni di account rubati a Facebook e ora in circolazione pubblicamente [continua..]
ma la vulnerabilità non riguardava quella relativa "Visualizza come" dal proprio profilo?
Se sì, Facebook aveva rilasciato uno strumento per verificare se si era tra le vittime.
Ne avevamo iniziato a parlare qui viewtopic.php?f=23&t=10495&sid=a6dc4594 ... e893b7ff27
Zane ha scritto: ↑mar apr 06, 2021 8:55 am
Hunt ha però anticipato via Twitter di essere in fase esplorativa per la possibilità di aggiungere la ricerca per numero di telefono al sito.
Mi pare di aver capito che ora sia possibile controllare anche il proprio numero di telefono, inserendo +39 (nel caso dell'Italia) e, a seguire senza soluzione di continuità, le restanti cifre dell'utenza telefonica.
In alternativa, si può svolgere una verifica per il proprio numero di telefono qui: Have I Been Facebooked?
Ultima modifica di leofelix il mer apr 07, 2021 2:14 am, modificato 1 volta in totale.
Motivazione:editato come da richiesta - in caso basta avvisare un moderatore per reinserire il link
Mi sembra importante evitare di inserire i propri numeri di telefono e indirizzi email all'interno di siti dalla scarsa reputazione (gestiti da chissà chi). Piuttosto: ottima la notizia che haveibeenpwned è già stato aggiornato per accettare anche i numeri di telefono
Tramite esso ho appena provato con il mio è confermo che il mio profilo è fra quelli rubati
Zane ha scritto: ↑mar apr 06, 2021 8:07 pm
Mi sembra importante evitare di inserire i propri numeri di telefono e indirizzi email all'interno di siti dalla scarsa reputazione (gestiti da chissà chi).
Può essere che "Have I Been Facebooked?" non sia sicuro?
Visto che era segnalato all'interno di un articolo di WindowsBlogItalia l'ho ritenuto attendibile ...
Nel caso fosse di dubbia origine, rimuovilo pure! Io non posso più modificare il mio post.
"Facesti come quei che va di notte, che porta il lume dietro e sé non giova, ma dopo sé fa le persone dotte"
Dante (Purgatorio, Canto XXII)
Matilda12 ha scritto: ↑mar apr 06, 2021 9:04 pm
Può essere che "Have I Been Facebooked?" non sia sicuro?
Visto che era segnalato all'interno di un articolo di WindowsBlogItalia l'ho ritenuto attendibile ...
Nel caso fosse di dubbia origine, rimuovilo pure! Io non posso più modificare il mio post.
sta' tranquillo, non ti preoccupare, ti sistemo io il post nel caso basta un messaggio privato e rimetto il link)
Norton Safeweb invita alla cautela.
Il Whois è nascosto, l'e-mail address fornito piuttosto sospetto, registrato il giorno 5 c.m
In quanto al mio account 0 problemi, ho tuttavia cambiato e-mail address, password e user ID (da PC si può fare facilmente).
Tuttavia un bel po' di miei amici sono caduti nella violazione, ho fornito loro indicazioni su come proteggersi
Da quanto si dice in giro, l'attacco sarebbe stato effettuato da malintenzionati egiziani, ma non posso confermarlo.
In quanto alle possibilità di un attacco di Sim Swapping, io credo che se avessero voluto farne avrebbero già agito giacchè la violazione risale al 2019.
Su punto-informatico dicono che Facebook avrebbe rimosso la possibilità di cercare qualcuno tramite il numero di cellulare, ma non ne sono così sicuro.
leofelix ha scritto: ↑mer apr 07, 2021 2:13 am
sta' tranquillo, non ti preoccupare, ti sistemo io il post nel caso basta un messaggio privato e rimetto il link)
No, no! Per carità! Hai fatto bene a rimuoverlo! E ti ringrazio.
Mi dispiace di essere stato frettoloso nella pubblicazione, ma la fonte e un controllo del link con VirusTotal (dall'esito tranquillo) mi hanno indotto a segnalarlo.
leofelix ha scritto: ↑mer apr 07, 2021 2:13 am
Tuttavia un bel po' di miei amici sono caduti nella violazione, ho fornito loro indicazioni su come proteggersi
Qualche buon consiglio è sempre ben apprezzato, anche in questa sede.
Grazie ancora!
"Facesti come quei che va di notte, che porta il lume dietro e sé non giova, ma dopo sé fa le persone dotte"
Dante (Purgatorio, Canto XXII)
haveibeenpwned.com ha ora aggiunto anche la possibilità di cercare per numero di telefono. Il sito ha un'ottima reputazione, ed è attualmente l'unica risorsa realmente affidabile per svolgere la verifica
“Mio nonno mi disse una volta che ci sono due tipi di persone: quelli che fanno il lavoro e quelli che si prendono il merito.
Mi disse di cercare di essere nel primo gruppo; ci sarà sempre molta meno competizione!“
cjamango ha scritto: ↑mer apr 07, 2021 4:47 pm
Facebook spiega da dove sono arrivati i 530 milioni di record contenenti i numeri di telefono degli utenti :
Ah, una operazione di scraping, lo sospettavo, difatti non sono state rubate le password.
Io non concedo mai il permesso a facebook di accedere ai miei contatti o quanto altro e il mio profilo è impostato per la massima "privacy", dalla lista degli amici a quel che posto nel mio profilo, nè i motori di ricerca esterni possono ricondurre al mio profilo.
La piattaforma delle applicazioni l'ho disabilitata.
In più per ogni sito e servizio uso e-mail address (e password) diverse, spesso degli alias (o proxy e-mail)
Raccolti e venduti online i dati di 500 milioni di iscritti a LinkedIn :
Utilizzando un cliché molto simile a quello adoperato nel caso di Facebook, i dati relativi a circa 500 milioni di iscritti a LinkedIn...... sono stati rastrellati da parte di ignoti e venduti online su un "forum specializzato" a fronte di un importo a quattro cifre :
“Mio nonno mi disse una volta che ci sono due tipi di persone: quelli che fanno il lavoro e quelli che si prendono il merito.
Mi disse di cercare di essere nel primo gruppo; ci sarà sempre molta meno competizione!“
cjamango ha scritto: ↑ven apr 09, 2021 1:57 pm
Raccolti e venduti online i dati di 500 milioni di iscritti a LinkedIn :
Utilizzando un cliché molto simile a quello adoperato nel caso di Facebook, i dati relativi a circa 500 milioni di iscritti a LinkedIn...... sono stati rastrellati da parte di ignoti e venduti online su un "forum specializzato" a fronte di un importo a quattro cifre :
In breve: ipotizzando che gli attaccanti abbiano usato un emulatore di Android, vi avrebbero installato l'app di facebook e da lì avrebbero usato quella funzione per cercare i numeri caricandone alcuni.
Ma al di là delle ipotesi sottolineano che gli utenti coinvolti dovevano avere le seguenti opzioni attive:
Profile data being set to “Public” or share with “Friends”
In Facebook privacy settings, people had “who can look you up using the phone number you provided” set to “Everyone”
"richiedendo all’operatore telefonico una nuova SIM con la scusa di averla persa o danneggiata;" (dice l'articolo interessante)
Il neo (da cervello bacato) è proprio qui.
Uno può capire che è necessario si bloccare subito una sim,quindi l'operatore la blocca. Ma per ricevere la nuova sim dovrebbe essere necessario presentarsi in uno degli esercizi,di persona.
Sempre che quelli riescono a riconoscere un documento valido da uno fasullo: per esempio oggi mi sono recato da un noto R-Store dove volevo un iPhone nuovo con questa caratteristica https://apple.co/2ROGQSo insomma con Chip U1 .
...... Manco sapeva io di cosa stessi parlando,è stato li quasi mezz'ora a cercare di documentarsi (cioè mi sono documentato io che faccio altro nella vita,ma non loro che lavorano in un Apple Store UFFICIALE!) alla fine se ne è uscita con un groviglio di cose campate grossomodo sul ripassi le faremo sapere.
“Mio nonno mi disse una volta che ci sono due tipi di persone: quelli che fanno il lavoro e quelli che si prendono il merito.
Mi disse di cercare di essere nel primo gruppo; ci sarà sempre molta meno competizione!“
Usate alias o proxy e-mail address o quantomeno indirizzi di posta diversi per ogni sito dove avete un account.
La cosa più importante è che non si usi almeno la stessa e-mail che si usa per la propria banca e/o prepagata come quella che si usa per lavoro nei social.
Con un alias basta un nulla eliminarlo senza compromettere l'account originario e ce ne anche di sono di gratuiti.
Devo dire che ilsoftware è avanti, le mie fonti non hanno ancora riportato questa notizia eppure sono attendibilissime e sempre aggiornate.
Non mi sarebbe dispiaciuto che il curatore dell'articolo avesse aggiunto anche qualche fonte anzichè limitarsi a dei nomi e a un video che ai più potrebbe non dire nulla. Ma va bene lo stesso così.
The representative said Facebook engineers believe they have mitigated the leak by disabling the technique shown in the video.
Facebook ritiene di aver mitigato la fuga di dati disabilitando la possibilità di usare la tecnica descritta nel video (traduzione personale)
Di seguito quel che aveva dichiarato il ricercatore che ha creato il video
Currently it's being used to compromise Facebook accounts for the purpose of taking over pages groups and, uh, Facebook advertising accounts for obviously monetary gain. Um, I've set up this visual example within no JS.
What I've done here is I've taken, uh, 250 Facebook accounts, newly registered Facebook accounts, which I've purchased online for about $10.
Um, I have queried or I'm querying 65,000 email addresses. And as you can see from the output log here, I'm getting a significant amount of results from them.
If I have a look at the output file, you can see I have a user ID name and the email address matching the input email addresses, which I have used. Now I have, as I say, I've spent maybe $10 using two to buy 200-odd Facebook accounts. And within three minutes, I have managed to do this for 6,000 accounts.
I have tested this at a larger scale, and it is possible to use this to extract feasibly up to 5 million email addresses per day.
In breve, poichè sembrava che Facebook non ritenesse importante la vulnerabilità scoperta, questo tizio ha comprato dei nuovi account (circa 250) per pochi dollari, quindi ha utilizzato quello strumento "interrogandone" 65.000.
Lo strumento è in grado di trovare e-mail address che combaciano con altrettanti iscritti fino a 5.000.000 al giorno.
Quanto interessa soprattutto ai malintenzionati sono gli account pubblicitari, le pagine e i gruppi che usano Facebook per monetizzare (leggi: guadagnare qualcosa con la pubblicità).
Se è vero che la vulnerabilità è stata corretta, è comunque salutare cambiare indirizzo e-mail che si usa per Facebook e anche la password
Inserendo un messaggio, dichiari di aver letto e accettato il regolamento di partecipazione.
Nello specifico, sei consapevole che ti stai assumendo personalmente la totale responsabilità delle tue affermazioni, anche in sede civile e/o penale,
manlevando i gestori di questo sito da ogni coinvolgimento e/o pretesa di rivalsa.
Dichiari inoltre di essere consapevole che il messaggio sarà visibile pubblicamente, accetti di diffonderlo con licenza
CC BY-NC-SA 3.0 (con attribuzione a "TurboLab.it") e rinunci ad ogni forma di compensazione (economica o altro).
Rinunci inoltre esplicitamente a qualsiasi pretesa di cancellazione del messaggio.