Ci sono nomi e cognomi, numeri di telefono, indirizzi fisici ed email, date di nascita, genere e persino datori di lavoro nell'enorme database di 533 milioni di account rubati a Facebook e ora in circolazione pubblicamente
I dati risalgono all'inizio del 2020 quando, sfruttando una vulnerabilità nel social network, anonimi aggressori erano riusciti a sfilare le informazioni personali che gli utenti avevano inserito sul sito. Fino ad oggi, però, i dati erano rimasti isolati nel dark web.
Subito dopo il fatto, Facebook aveva rilevato l'accesso abusivo e risolto la vulnerabilità, ma solo dopo che i dati erano stati prelevati.
Nel corso dello scorso weekend, qualcuno ha predisposto un bot Telegram che, appoggiandosi al database dei dati rubati, consente di indicare l'account della propria vittima. L'automatismo richiede poi il pagamento di una somma in denaro, in seguito al quale ritorna le informazioni disponibili nell'archivio
Da lì a poco, l'intero database dei dati rubati ha iniziato a circolare pubblicamente.
L'intero database è appunto costituito da 533 milioni di account: un numero che costituisce approssimativamente il 20% del numero totale di utenti registrati.
Per quanto riguarda il pubblico italiano: la raccolta è la più grande in assoluto relativamente alle altre nazioni, con pocomeno di 36 milioni di account rubati
L'esperto Troy Hunt, noto in rete per il suo servizio gratuito haveibeenpwned.com che consente di verificare in quali database rubati sia inserito il proprio indirizzo email, ha segnalato che solo una minima parte degli account (0.5%) è associata ad un indirizzo email. La maggior parte degli utenti sono dunque associati al proprio numero di telefono.
In questa specifica circostanza, dunque, haveibeenpwned.com è inadeguato per scoprire se il proprio account sia fra quelli interessati dal furto
haveibeenpwned.com ha ora aggiunto anche la possibilità di cercare per numero di telefono. Il sito ha un'ottima reputazione, ed è attualmente l'unica risorsa realmente affidabile per svolgere la verifica
Hunt ha però anticipato via Twitter di essere in fase esplorativa per la possibilità di aggiungere la ricerca per numero di telefono al sito.
Quali pericoli, come difendersi
Considerato l'enorme numero di account coinvolti e in assenza di uno strumento per verificare puntualmente, ognuno di noi dovrebbe partire dal presupposto che il proprio account Facebook sia stato violato. Per prima cosa è dunque opportuno modificare la propria password e attivare l'autenticazione a due fattori.
In secondo luogo, è opportuno innalzare il livello di guardia verso le truffe telefoniche e via SMS: sarà infatti sicuramente questo il canale principale che i cracker utilizzeranno per sfruttare i dati in circolazione
» Leggi anche: SMS truffa: il tuo pacco è stato trattenuto presso il nostro centro di spedizione
Potrebbe inoltre essere importante anche verificare quali siti utilizzino una "domanda segreta" basata sui dati rubati (data di nascita, indirizzi ecc.). Gli aggressori potrebbero infatti sfruttare le informazioni carpite dal furto ai danni di Facebook per rispondere correttamente alle domande segrete utilizzate da altri siti per il recupero password, e rubare così indirettamente altri account.
Per il momento Facebook non ha avvisato in alcun modo gli utenti interessati, né diramato alcun comunicato stampa in merito alla vicenda.
- È necessario eseguire login su TurboLab.it
- La discussione sul forum che contiene i commenti NON deve essere stata chiusa dai moderatori
- Il forum NON deve essere in manutenzione
- L'articolo deve essere stato marcato dall'autore come 'finito'
- Un articolo NON-finito è commentabile se ha ricevuto commenti prima che l'autore lo riportasse in stato NON-finito
]