MEDIA

Facebook: dopo 2 anni i dati rubati preoccupano ancora

Federica De Stefani, avvocato e responsabile Aidr Regione Lombardia

Nel 2019 i dati di oltre 500 milioni di utenti registrati su Facebook  sono finiti nelle mani degli hacker: il data breach è ormai vecchio di  un paio di anni, ma la preoccupazione che desta questa sottrazione è  estremamente attuale.

Quei dati, infatti, nonostante il tempo trascorso, rappresentano  ancora un pericolo reale e concreto per i soggetti ai quali sono stati  sottratti poiché potrebbero essere utilizzati per scopi illeciti.

La violazione, come detto avvenuta nel 2019, era stata causata da una  falla nel sistema di sicurezza e aveva reso disponibili dati personali  (tra i quali nome e cognome, indirizzo e-mail e numero di telefono) di  milioni di utenti appartenenti a diversi Paesi.

I dati erano circolati in alcuni forum di hacker, Facebook aveva  dichiarato di aver risolto il problema già nell’agosto dello stesso  anno e il leak non aveva suscitato grande attenzione mediatica molto  probabilmente per la difficoltà con la quale i dati messi in vendita  potevano essere consultati e utilizzati.

All’inizio di quest’anno, tuttavia, quegli stessi dati sono stati  utilizzati come database di un bot di Telegram che consentiva, a  prezzi più contenuti e con un sistema molto più facile da utilizzare,  di risalire al numero all’ID dell’account Facebook inserendo il numero  di cellulare (e viceversa).   Nelle ultime settimane i dati sono infine stati resi pubblici in  maniera gratuita da più fonti.

È evidente, a questo punto, che il danno è stato fatto, i dati sono  stati sottratti e sono (potenzialmente) esposti ad utilizzi illeciti.  Cosa fare quindi per limitare al massimo le possibili implicazioni  negative?

Se la regola generale prevede di immettere il minor numero di  informazioni possibili sui social network bisogna capire come potersi  proteggere laddove, come nel caso di specie, il data breach sia già  avvenuto e si debba correre ai ripari.Partiamo dalla tipologia di dati che sono stati interessati dalla violazione.Indirizzo email e numero telefonico in primis.

Inutile dire che per quanto concerne le caselle di posta elettronica è  necessario concentrare la propria attenzione sulle password,  modificandole utilizzando sistemi che possano garantire un alto  livello di sicurezza.

Divieto assoluto, quindi, di creare password che riportino  informazioni personali, direttamente ricollegabili alla persona in  questione o ai familiari, agli animali domestici o alle ricorrenze, a  soprannomi, squadre del cuore o sport praticati.

Meglio optare per un sistema di “passphrase”, che consente di generare  un codice alfanumerico ricollegabile ad una frase scelta dall’utente e  che può facilmente ricordare, o a un password manager che consente di  generare password con un alto livello di sicurezza senza doversi  occupare personalmente della memorizzazione delle stesse.

Puo’ sembrare scontato, ma la password è la vulnerabilità alla quale  ancora oggi risulta più esposta la maggioranza delle persone se si  considera che secondo gli studi più recenti le password più utilizzate  nel 2020 sono state “123456” “password” e “qwerty” (per quest’ultima  controllate la sequenza dei tasti sulla tastiera di un qualsiasi pc).

Sempre per quanto riguarda le mail è indispensabile controllare con  estrema attenzione il mittente poiché molto spesso gli indirizzi  utilizzati per le truffe sono simili e possono trarre in inganno,  divergendo dall’originale magari per un solo carattere.

È quindi  necessario verificare con attenzione l’indirizzo esteso, prestando  attenzione anche alla tipologia di messaggio che si riceve. Richieste  di dati, di accedere a link, di scaricare allegati devono essere  trattati con estrema cautela, effettuando un doppio controllo  preventivo, magari interpellando il mittente con una telefonata per  accertarsi della veridicità del messaggio e della richiesta contenuta  nello stesso.

È indispensabile approcciarsi con la stessa diffidenza  anche alle richieste di dati che dovessero essere contenute in sms o  effettuate a voce da chi vi contatta telefonicamente.

Per quanto riguarda, invece, il numero di telefono è fondamentale  monitorare eventuali anomalie riscontrate sul proprio numero di  cellulare.

In primo luogo è necessario che qualsiasi irregolarità nel  funzionamento venga verificata attraverso il proprio operatore  telefonico, ma è altresì fondamentale prestare attenzione a tutti quei  messaggi che possano, in qualche modo, carpire (ulteriori) dati utili  ai criminali per raggiungere il proprio intento, ritornando ancora una  volta alle richieste di dati personali, di codici di autenticazione o  password segrete per l’attivazione di specifici servizi.

È opportuno, inoltre, eliminare da Facebook (e da altri social  network) il proprio numero di telefono, utilizzando altri metodi per l’autenticazione a due fattori, qui non di certo in ottica di  protezione, ma di prevenzione per il futuro.

Per chi volesse infine verificare se la propria mail è stata oggetto  di un data breach, non necessariamente quello di Facebook, è possibile  consultare il sito https://haveibeenpwned.com/ che permette di  identificare eventuali violazioni nelle quali è stato coinvolto il  proprio indirizzo mail.

Pulsante per tornare all'inizio