Ancora uno scivolone sul fronte privacy per Facebook: nei giorni scorsi la notizia di un ennesimo leak che ha portato online i dati personali relativi a 533 milioni di utenti. Tra questi anche numeri di telefono e indirizzi email. Come verificare se le nostre informazioni ne fanno parte?
Il metodo più semplice, rapido e affidabile è quello proposto dal sito Have I Been Pwned gestito dall'esperto di sicurezza Troy Hunt. È sufficiente inserire il proprio numero (nel formato +39**********) o indirizzo di posta elettronica nel campo di ricerca, poi fare click sul pulsante "pwned?".
L'esito è immediato. Nel nostro caso, purtroppo, il numero di telefono è presente nel leak di Facebook. Ci viene comunicato con un messaggio che fornisce alcuni dettagli sulla natura della violazione:"Il valore principale dei dati è l'associazione tra i numeri di telefono e le identità".
Il portale afferma inoltre che, nonostante tutti i record del database contengano un numero di telefono, solo per 2,5 milioni è presente anche l'indirizzo email. Nella maggior parte dei casi sono incluse informazioni a proposito di genere, data di nascita, località, situazione sentimentale e datore di lavoro.
Ieri è andato online anche il sito Have I Been Facebooked, dedicato interamente al leak del social network, ma al momento risulta irraggiungibile in seguito a un intervento dall'autorità nostrana per la privacy:"Il Garante avverte chiunque sia entrato in possesso dei dati personali provenienti dalla violazione, che il loro eventuale utilizzo, anche per fini positivi, è vietato dalla normativa in materia di privacy, essendo tali informazioni frutto di un trattamento illecito".
Dal canto suo, Facebook afferma in un blogpost ufficiale che il furto di dati è avvenuto due anni fa circa, facendo leva su una falla corretta tra l'agosto e il settembre 2019, legata alla funzionalità di importazione dei contatti. Il database diffuso online non è il risultato di un attacco, bensì di un'operazione di scraping messa a segno attraverso un bot sviluppato per estrapolare in modo automatico le informazioni connesse ai profili degli utenti.
Controllo account compromessi: Have I Been Pwned e i browserHave I Been Pwned è uno strumento estremamente valido, a cui si può far riferimento per capire se i nostri account (non per forza di cose collegati a Facebook) sono stati colpiti dalle violazioni che purtroppo si verificano sempre più spesso. La procedura da eseguire è sempre la stessa descritta all'inizio di questo articolo.
Un approccio del tutto simile è quello adottato dai più diffusi browser per la navigazione: integrano funzionalità che eseguono il controllo in modo automatico, consigliando se necessario all'utente di cambiare password o di attivare l'autenticazione a due fattori così da aggiungere un layer di protezione a tutela delle informazioni. In Chrome è possibile accedervi digitando "chrome://settings/passwords/check" nella barra dell'indirizzo. In Edge la stringa è "edge://settings/passwords". Per quanto riguarda Firefox, lo sviluppatore Mozilla mette invece a disposizione il sito dedicato Firefox Monitor.
