Adesso tutti sono curiosi di sapere se il collega o il vicino di casa sono finiti nel database dei dati rubati a Facebook. In seguito all’iniziativa di due giovani italiani è diventato possibile digitare in una maschera di ricerca un numero di cellulare e metterlo in relazione a nome e cognome del proprietario. Ma questo non si può fare. L’Autorità per la protezione dei dati personali ha appena adottato un provvedimento di avvertimento verso tutti coloro che offrono il servizio di ricerca dei dati trafugati a Facebook e ha ricordato loro che “è vietato ogni altro utilizzo illecito di questi dati come il telemarketing e lo ‘stalking’ politico”. Anche se i due giovani hanno scritto su Twitter di avere “mascherato” i numeri di telefono utilizzati per fare la ricerca.

Il progetto si chiama HaveIBeenFacebooked? e fa il verso al più noto HaveIbeenPwned? di Troy Hunt, che nel gergo dei videogame online indica una sconfitta (in questo caso per la compromissione dei propri dati personali). L’iniziativa, apparsa subito discutibile, poteva però sembrare assai utile agli utenti Facebook visto che nel database rubato di 533 milioni di record su cui va a pescare ce ne dovrebbero essere oltre 30 milioni relativi a utenti italiani, quasi la totalità di quelli che si sono registrati sulla piattaforma e che hanno completato la propria anagrafica con un numero di cellulare da usare sia per l’accesso che per il recupero delle credenziali in caso di smarrimento.

Sapere se c’è il proprio telefono insieme ad altri dati anagrafici potrebbe essere utile per decidere se innalzare il livello di allerta di fronte a dispetti, tentativi di truffa, azioni di stalking usando un numero di telefono fino a prendere il posto di un utente di cui si conoscono nome, cognome e telefono, il pericolo maggiore. É il caso del “SIM swapping” , una tecnica di attacco che consente di avere accesso al numero di telefono del legittimo proprietario e violare determinate tipologie di servizi online che usano proprio il numero di telefono come sistema di autenticazione come Repubblica aveva già scritto.





L’idea dei due italiani, Fumaz e Marco Aceti, non è tuttavia né unica né nuova. Ci sono infatti altre iniziative simili a HaveIBeenFacebooked?, e in particolare quella degli inglesi di HaveIbeenZucked? che però consente la ricerca anche su nome, cognome ed email. Ma i dati cercabili nelle due differenti piattaforme non sono gli stessi. E rimane alto il rischio che cercandoli su questi servizi si offrano a degli sconosciuti dei dati sensibili.

E infatti l’intervento del Garante italiano per la privacy non si è fatto attendere. Nei prossimi giorni il collegio presieduto dal professore Pasquale Stanzione chiederà a Facebook di avviare un servizio di assistenza che aiuti gli utenti a verificare se sono stati interessati dalla violazione dei loro dati personali.

Come funziona il motore di ricerca

Inserendo nella maschera di ricerca del sito italiano un numero non presente il sistema va in palla e ti lascia ad attendere una risposta che non arriva. Ma se sei “dentro” il sistema restituisce anche le iniziali del nome e del cognome e poi compare un avviso: “Il tuo profilo Facebook è stato violato. Il tuo numero di telefono è stato trovato tra quelli sottratti nella violazione. Connessi al tuo numero di telefono, abbiamo individuato i seguenti dati personali”. Leggendo più sotto arrivano i consigli: “Questa violazione dati potrebbe inoltre essere usata a fini di stalking e di molestie personali. Se ritieni di essere a rischio, considera l’idea di cambiare numero di telefono”.

Ma prima dell’intervento del Garante, l’avvocato Enrico Ferraris, esperto di privacy ci aveva detto: “Senza voler mettere in dubbio la buona fede degli sviluppatori, mi sembra non abbiano posto la giusta attenzione alle implicazioni del sito in tema di protezione dei dati personali. Non è chiaro come siano trattati i dati (i numeri telefonici) inseriti dall’utente, su che base, per quali finalità, dove vengano conservati e per quanto tempo, non essendo presente un’informativa privacy. Per quanto riguarda i dati con cui viene effettuato il confronto (ossia quelli presenti nella compilation trapelata), il fatto che siano stati illecitamente resi pubblici non legittima un trattamento, che deve comunque fondarsi su una delle basi giuridiche previste dalla legge europea sulla privacy, la GDPR”.

Il database, prima a pagamento, diventa gratuito ad aprile

Non sappiamo se HaveIBeenFacebooked? pesca nello stesso database che circola adesso gratuitamente su diversi forum. Infatti, come Repubblica ha raccontato due mesi fa, il dump complessivo (così lo chiamano in gergo la copia dei dati impilati nella base dati) che prima era di 370 milioni di record e poi di 533, adesso avrebbe raggiunto le dimensioni monstre di 686 milioni di record. L’altra novità è che il database è stato reso disponibile gratuitamente per poche ore e non più a pagamento, sullo stesso sito che aveva inizialmente pubblicato la compilation di profili.

All’inizio dell’anno ogni record poteva essere comprato a 20 dollari circa ma in modalità privata, usando perfino un chatbot per contrattare la “merce”: si poteva insomma comprare il singolo profilo Facebook della moglie, dell’amante, dell’amico, del proprio capo, con tanto di nome, cognome, attività lavorativa, collocazione geografica, e l’appartenenza a gruppi Facebook.

Che cosa può succedere adesso

Il guaio è che il database, con diverse dimensioni è stato pubblicato su molte piattaforme online. E d’ora in avanti chiunque potrà farlo non solo i cybercriminali che in genere i dati rubati li vendono per guadagnarci. Nel passato regalare dati rubati serviva ad aumentare la reputazione del singolo rivenditore quando ormai le informazioni erano già state sfruttate per azioni di phishing, per rinsaldare legami di collaborazione, ma anche per depistare le forze dell’ordine, inquinando le tracce che potevano permettere di risalire ai primi autori dell’esfiltrazione. Già, perché, come ha notato l’avvocato Enrico Ferraris, non si tratta di un databreach vero e proprio, ma di una raccolta (harvesting) di dati che ha sfruttato una funzione non prevista del software di Facebook. E che ha più volte dichiarato di aver già risolto il problema già nel 2019.

La responsabilità di Facebook

Perciò, come spiega Ferraris: “Sotto il profilo della privacy by design sarebbe interessante capire se le misure di sicurezza messe in atto da Facebook per evitare indicizzazioni massive dei dati mediante enumerazione dei numeri di cellulare fossero adeguate”. Tutto questo non spiega ancora come mai da 533 milioni di record siamo passati a 686. Possiamo ipotizzare che un database trafugato una volta trovata la strada nel mercato nero dei dati, può essere ridotto o ampliato per dare l’idea che sia nuovo e diverso e continuare a rivenderlo o a scambiarlo.

Ma i dati rubati non sono nel DarkWeb

Rimane il fatto che tutti questi database rubati sono come le mele sull’albero: aspettano solo di essere colte. Il forum “hacker” dove è stato annunciato e messo inizialmente in vendita il database sottratto a Facebook non si trova del DarkWeb come si potrebbe pensare, ma dentro un normale sito ospitato nel ClearWeb, ovvero il web in chiaro, ed è cercabile con le parole chiave immesse in un comune motore di ricerca, da Google a Qwant.

Insomma, il problema è vecchio, non è stato risolto e d’ora in avanti bisognerà fare attenzione a quali e quanti altri dati verranno associati agli oltre 30 milioni di profili. Come dice il Garante nel suo comunicato “L’Autorità richiama inoltre tutti gli utenti interessati dalla violazione alla necessità di prestare, nelle prossime settimane, particolare attenzione a eventuali anomalie connesse alla propria utenza telefonica: come, ad esempio, l’improvvisa assenza di campo in luoghi dove normalmente il cellulare ha una buona ricezione. Un tale evento potrebbe essere il segnale che un criminale si è impossessato del nostro numero di telefono per usarlo a scopo fraudolento”.