Case di riposo, da mestiere a rischio a mestiere del rischio: una novantina gli operatori non vaccinati nelle prime 500 strutture controllate
14 Maggio 2021
Terrorismo di allora e di oggi. Intervista a Valter Giovannini, all’interno della mostra Criminis imago
16 Maggio 2021
Case di riposo, da mestiere a rischio a mestiere del rischio: una novantina gli operatori non vaccinati nelle prime 500 strutture controllate
14 Maggio 2021
Terrorismo di allora e di oggi. Intervista a Valter Giovannini, all’interno della mostra Criminis imago
16 Maggio 2021

I dati rubati a Facebook e il mercato nero delle credenziali

di Silvia Cegalin

«533.000.000 dati di utenti Facebook sono stati resi disponibili gratis sul web. Ciò significa che se hai un account Facebook, è estremamente probabile che il numero di telefono utilizzato per l’account sia trapelato e reso pubblico».

Questo il messaggio, qui tradotto, che si legge nel tweet apparso il 3 Aprile nel profilo di Alon Gal (Under the Breach), direttore tecnico presso Hudson Rock, società di intelligence esperta in cybercrime, e che dopo la sua pubblicazione ha letteralmente generato il panico tra i molti iscritti a Facebook.

In pochissimi minuti la bacheca di Gal viene subissata di messaggi da parte di utenti che allarmati chiedono come fare per sapere se anche il loro account è tra quelli hackerati, altri invece la buttano sull’ironia dichiarando che nei social la privacy non è mai esistita, e chi crede il contrario è un ingenuo. La notizia lo stesso giorno viene diffusa anche in Italia, perché tra i 533 milioni di account sottratti, 36 milioni appartengono a utenti italiani, una tra le percentuali più alte rispetto agli altri paesi, e l’effetto boomerang non si fa attendere. Effetto che cerca di essere attutito da una comunicazione dell’azienda statunitense che prova a tranquillizzare i propri iscritti asserendo che il fatto risale al 2019 e che, stando anche alle dichiarazioni espresse da Zuckerberg stesso, la falla è stata risolta già da tempo.

È vero: l’hackeraggio è avvenuto nel 2019 e in alcuni casi può perciò riguardare dati vecchi, inutilizzati o, ad oggi, inesistenti, ma come esserne sicuri? Perché dare per scontato che un’ informazione di contatto, come un recapito telefonico, siccome inserito prima del 2019 non sia più valido? Chi cambia o aggiorna i suoi numeri così rapidamente? Sinceramente la risposta è abbastanza ovvia, tant’è che tra i numeri hackerati risulta esserci anche quello di Mark Zuckerberg. Una piattaforma come Facebook – soprattutto a cospetto dello scandalo di Cambridge Analytica del 2016 in cui la società era già stata coinvolta mettendo a rischio i dati di circa 80 milioni di utenti – dovrebbe essere “pronta” per prevenire infiltrazioni cybercriminali, garantendo ai propri iscritti il rispetto dei termini di servizio e quelli inerenti la privacy, tuttavia il nodo della questione è anche un altro.

Il problema principale resta il fatto che le informazioni detratte (tra cui in particolar modo indirizzi mail e numeri telefonici) non sono rimaste “confinate” e fatte circolare limitatamente nel mondo hacker, ma sono state rese pubbliche sul web, e nel Clear Web tanto per intenderci, divenendo così maggiormente vulnerabili, esse infatti possono essere usate da malintenzionati per compiere furti di identità o frodi di natura economica. Preoccupazione ribadita dallo stesso Gal che a Business Insider, e qui tradotto, ha dichiarato: «Un database di quelle dimensioni contenente le informazioni private come i numeri di telefono di molti utenti di Facebook, inciterebbe sicuramente i malintenzionati ad eseguire attacchi di ingegneria sociale o tentativi di hacking», per questo motivo è importante capire i possibili scenari che potrebbero verificarsi.

Proviamo, perciò, a comprendere cosa potrebbe comportare avere le proprie credenziali esposte online e visibili a tutti. Nonostante qualche dato sensibile, come numero di telefono o mail, possa rilevarsi disattivato, in altri casi potrebbero essere strategici per agevolare i cybercriminali nell’individuazione di credenziali e password, necessarie ad esempio per accedere al sito della propria banca o per acquistare online, risalendo ovviamente fino all’indirizzo di residenza o a scoprire la sede e il tipo di occupazione. La cosa però è successa per gradi, prima di essere divulgati in rete, i dati sensibili hackerati sono stati messi in vendita. A Gennaio il gruppo criminale che ha gestito l’operazione contro Facebook ha creato un Bot di Telegram a pagamento, e illegale, che consentiva di conoscere il numero di telefono di un iscritto a Facebook partendo dal suo ID, o viceversa, di conoscere il suo ID partendo dal numero. Con soli 20 dollari si poteva comperare un numero potendo a sua volta risalire, grazie a una procedura algoritmica composta da un sistema di selezione e incroci, alle altre credenziali. Da lì al commettere una qualsiasi frode, specie se finanziaria, il passo è breve. Ad aprile la bomba invece è scoppiata del tutto, e l’intero elenco dei contatti telefonici è stata messa online, mettendo a rischio la privacy e le attività online di molti utenti Facebook.

Come già accennato l’Italia è stata tra le Nazioni più colpite, in una lista che ne vede comparire ben 108, nessun paese pare dunque essere stato risparmiato da questo attacco. A questo punto la rete si è mossa: oltre il sito già esistente dal 2013 HaveIbeenPwned? di Truy Hunt, che permette di controllare se i propri dati personali sono stati coinvolti in qualche violazione, anche l’Italia tramite la creazione di HaveIBeenFacebooked? lanciata da Fumaz e Marco Aceti, proprio in concomitanza di questo scandalo, ha tentato di costruire un’applicazione simile a quella americana per scoprire se i nostri dati sono stati inseriti nella famigerata lista nera.

Ora ogni cosa ha una doppia faccia, e il sito italiano su disposizione del garante della privacy è stato quasi immediatamente bloccato, perché la resa pubblica dei dati sensibili avrebbe comunque potuto permettere a possibili cybercriminali di impossessarsene, provocando così un effetto contrario a quello auspicato. In una dichiarazione del 6 Aprile il garante della privacy ha tuttavia chiesto ai maggiori social network di adottare misure più sicure per limitare i rischi, avvertendo che l’utilizzo dei dati provenienti dalla violazione è illecito.

Questo scandalo, inevitabilmente, ha riportato l’attenzione sul mercato nero degli account social e sulla vendita di credenziali utili per accedere a informazioni confidenziali e servizi web in modo illegale. Già, perché se il mondo internauta si è mobilitato, e a ragione, preoccupato dalla sottrazione di dati privati che ha coinvolto Facebook, è importante anche sapere che nel Dark web, da anni, è presente un mercato nero di qualsiasi tipo di informazioni.

Dalla ricerca Dark Web Price Index 2021 condotta e pubblicata da Privacy Affairs recentissimamente, il 9 Maggio, è emerso infatti che tra la vendita di dati personali e documenti contraffatti, compaiono anche account social hackerati. Il prezzo, come si può leggere nel documento, varia da 45 agli 80 dollari, un costo relativamente basso, se si pensa allo sforzo di ingegneria sociale messo in atto per recuperare le credenziali e che, proprio per questo, talvolta mettono in dubbio l’attendibilità di queste informazioni.

La vendita di account social però non è indirizzata esclusivamente verso potenziali cybercriminali con il fine di ottenere, per esempio, l’accesso ai conti bancari. Da uno studio del maggio 2021 condotto dal team di Money Guru è risultato che le credenziali messe nel dark web, e soprannominato Dream Market, sono acquistate anche da aziende con lo scopo di inviare agli utenti annunci pubblicitari mirati in base alle loro interazioni, gruppi o pagine preferite.

Un accesso Facebook può essere venduto alle aziende con una cifra che varia da 2,75 a 8 dollari, mentre un “pacchetto” completo contenente nome utente, password, indirizzi e contatti mail e telefono invece può arrivare a costare fino 970 dollari, proprio perché il successo di una campagna pubblicitaria dipende da quante informazioni si hanno su di un utente; le aziende, dunque, pur consapevoli che tale operazione è illegale, la considerano comunque un’alternativa per esporsi e allargare il loro giro di consumatori.

Aspetti che ci inducono a riflettere su quanto le nostre azioni in rete e i nostri profili social possiedano un potenziale che si sporge oltre il semplice entertainment, influenzando i sistemi economici e finanziari, e come si è visto con Cambridge Analytica, anche politici.

Nulla nelle interazioni virtuali nulla avviene mai per caso, sono i Big data a dettare le regole del gioco, e se vogliamo far parte di questo mondo sommerso dobbiamo conoscerle e non abbassare mai la guardia, anticipando, prevedendole, le strategie dell’antagonista, ed evitando, ove possibile, di indicare i propri riferimenti di contatto. Un altro metodo per sfuggire a eventuali attacchi hacker è comporre password difficili da decriptare e diverse per ciascun account, oltre che attivare l’autenticazione a due fattori, ossia l’utilizzo congiunto di due metodi di autenticazione individuali, in attesa che le grandi piattaforme trovino un sistema più soddisfacente per tutelare la privacy dei propri iscritti che, ci auguriamo, avvenga il più presto possibile.