Le piattaforme online custodiscono un tesoro di valore inestimabile: petabyte di dati personali degli utenti. Quando si verifica un attacco informatico che porta alla sottrazione di dati altrui (data breach) le informazioni passano direttamente nei mani dei cybercriminali e possono essere rivendute sul “mercato nero” ad altri soggetti. Non c’è bisogno di rovistare nel dark web con Tor Browser: ci sono tanti forum raggiungibili attraverso il Web pubblico che propongono questi dati, gratuitamente o dietro un pagamento in denaro. Tra le tante informazioni pubblicate, ci sono anche pagine bianche dei numeri di cellulare italiani!
Il Garante Privacy italiano ha ripetutamente censurato e multato innumerevoli attività che hanno fatto uso di queste raccolte di dati perché trattasi di risorse acquisite come frutto di un trattamento illecito.
Le pagine bianche dei numeri di cellulare
Le pagine bianche sono un elenco degli abbonati telefonici in ordine alfabetico. Vi ricorderete certamente i vecchi elenchi telefonici cartacei. Ecco, lì dentro un tempo potevano figurare soltanto numerazioni fisse mentre da qualche tempo è autorizzata la pubblicazione delle utenze mobili. Sono pochi, ovviamente, gli utenti che aderiscono: soltanto una realtà aziendale può avere interesse a condividere un numero di cellulare. Non certo un privato.
Anzi, l’utenza mobile dovrebbe essere “sacra” perché legata a una sfera ancora più personale rispetto a una numerazione mobile. E invece, pagine bianche o no, gli utenti sono sempre più bersagliati oggigiorno dalle chiamate spam dei call center e di soggetti dalla dubbia identità. Vi abbiamo raccontato della truffa telefonica che sollecita a scegliere la tecnologia digitale per la connessione Internet. È una delle tante.
Ma da dove recuperano numeri di telefono, nomi e cognomi, indirizzi e altri dati personali gli spammer telefonici? A volte da consensi al trattamento dei dati forniti dagli utenti nell’ambito di iniziative promozionali, concorsi e così via. In altri casi, però, si pesca nel torbido e soggetti senza scrupoli sfruttano anche basi di dati acquisite da fonti non autorizzate, ad esempio a valle di attacchi informatici.
L’esempio dell’attacco a Facebook del 2021
Citiamo un esempio per tutti. Vi ricordate dell’incidente occorso a Facebook ai tempi dell’affaire Cambridge Analytica? Ecco, nell’aprile 2022 fu la volta della sottrazione di 100 milioni di numeri di telefono di utenti iscritti a WhatsApp con tanto di nomi e cognomi (19 milioni appartengono a italiani). Mentre ad aprile 2021, esattamente un anno dopo, un gruppo di sconosciuti effettuò una pesante attività di Web scraping sulle pagine di Facebook riuscendo a costruire una base dati relativa a 533 milioni di utenti, unendo nomi e cognomi a numeri di telefono personali, date di nascita, indirizzi email, lavoro svolto, sesso, locazione geografica, stato civile.
I dati personali degli italiani sono ancora pubblicati online, sui forum specializzati
Ad aprile 2021, il Garante reagì immediatamente pubblicando un importante provvedimento. “Chiunque sia entrato in possesso dei dati personali provenienti dalla violazione, che il loro eventuale utilizzo, anche per fini positivi, è vietato dalla normativa in materia di privacy, essendo tali informazioni frutto di un trattamento illecito“, si legge.
Eppure, com’era facile prevedere, il materiale composto scansionando le pagine del social network in blu resta ancora disponibile nei forum online. Basta fare un po’ di OSINT (Open source intelligence), per imbattersi in un colpo solo con le raccolte di dati in questione. Non solo. Basta usare il semplice operatore site:
di Google e anteporre cache:
all’URL di destinazione per accorgersi di come le informazioni sia tutt’oggi accessibile con un paio di clic, senza neppure effettuare una registrazione.
Il fatto è che non ci sono solo i dati rastrellati su Facebook nei forum “specializzati” ma anche informazioni sui clienti di alcune banche italiane, sugli utenti del Belpaese che utilizzano vari servizi online, il materiale rastrellato presso vari enti, su siti Web di aziende e professionisti,… E citiamo anche l’incidente occorso a un “serbatoio” di informazioni personali che ha portato alla pubblicazione non autorizzata di qualcosa come 27 miliardi di record.
Tutto materiale per gli attacchi phishing e vishing
È un grosso problema perché i criminali informatici possono mettere le mani su informazioni utilissime per lanciare attacchi phishing molto efficaci. Ecco il motivo delle campagne truffaldine che prendono di mira, con regolarità, gli italiani: si presentano sotto forma di messaggi, spesso SMS, inviati sui dispositivi mobili degli utenti. Ma anche di telefonate che hanno tutte le caratteristiche del vishing.
È ovvio che conoscendo numeri di telefono, nomi e cognomi, attività lavorativa, locazione geografica delle potenziali vittime i criminali informatici possono mettere a punto tentativi di aggressione che appaiono più convincenti. Vi segnaliamo un simpatico quiz per riconoscere il phishing e l’articolo in cui spieghiamo cos’è un URL e come scoprire quelli pericolosi.
Evitare che siano composte pagine bianche con i vostri dati personali
Parlando di Facebook, per difendersi da chi effettua lo scraping ovvero la raccolta su vasta scala di informazioni sul social network di Mark Zuckerberg (anche se la società afferma di essere molto più abile nell’individuare e nel neutralizzare questo tipo di attività…) è fondamentale accedere a Facebook come visitatore senza iscrizione o in incognito (CTRL+MAIUSC+N
nella maggior parte dei browser, CTRL+MAIUSC+P
con Firefox) per verificare quali informazioni si stanno condividendo pubblicamente.
Come regola generale si dovrebbero ridurre al minimo le informazioni personali presentate pubblicamente, quindi alle persone sconosciute e agli amici di amici.
Il problema è che quando i buoi sono ormai fuggiti dalla stalla, ovvero quando l’aggressione informatica c’è stata, è praticamente impossibile arginare la pubblicazione e la diffusione dei dati. Basti considerare che queste informazioni sono spesso illecitamente condivise anche attraverso la rete BitTorrent.
Dati personali alla mercé di chiunque
In questa immagine (fonte: Bleeping Computer) è riportato un esempio della struttura dei dati sottratti a Facebook qualche anno fa. Un semplice comando Linux come il seguente permetterebbe di estrarre dai file composti dopo l’attività di scraping su Facebook il numero di telefono di qualunque persona:
In alternativa, digitando un comando come quello che segue si potrebbero potenzialmente estrarre tutti i dati relativi a un utente iscritto a Facebook (nell’immagine diffusa da Bleeping Computer si vede come il secondo dato sia l’ID Facebook):
Supponiamo che un aggressore voglia estrarre i dati e soprattutto rilevare il numero di telefono di una persona registrata su Facebook: dopo aver visitato il suo profilo questi dovrebbe soltanto premere la combinazione di tasti CTRL+U
quindi CTRL+F
per avviare una ricerca e infine digitare userID
. A destra della stringa userID è mostrato l’identificativo Facebook dell’utente: sostituendolo a ID_Facebook nel comando precedente ecco che apparirà il numero di telefono della persona individuata.
Al posto del nome e cognome è addirittura possibile estrarre tutti gli utenti, insieme con i loro numeri di telefono, che risiedono in una certa località, lavorano per una specifica azienda o svolgono una certa attività. Impressionante. Altro che pagine bianche!
Minimizzazione dei dati
Abbiamo preso in esame il “caso Facebook” ma, come sottolineavamo in precedenza, ci sono volumi incalcolabili di dati pubblicati sul Web a valle di data breach. Anche a distanza di tempo è quindi essenziale comprendere la portata della problematica ed essere consapevoli che quei 533 milioni di record provenienti da Facebook possono ancora oggi essere utilizzati per fare danni. Così come qualunque altro dato personale rastrellato in seguito a un attacco informatico.
Il principio di minimizzazione dei dati contenuto nel Regolamento generale sulla protezione dei dati (GDPR) stabilisce che il titolare del trattamento debba raccogliere i dati in maniera adeguata, pertinente e limitata a quanto necessario rispetto alle finalità per le quali le informazioni sono trattate.
Anche gli utenti dovrebbero poi evitare di condividere più dati di quelli espressamente richiesti per l’attivazione di un servizio o per l’accesso a esso.
Come verificare se il proprio numero di telefono è presente in qualche data breach
Un gruppo di sviluppatori italiani aveva a suo tempo realizzato e varato il sito HaveIbeenFacebooked per capire se il numero di telefono e altri dati personali fossero stati sottratti da Facebook.
A seguito del provvedimento dal Garante Privacy citato in precedenza, gli autori di HaveIbeenFacebooked hanno chiuso il servizio.
Vi sveliamo un segreto. Per controllare la presenza del proprio numero di telefono, eventualmente razziato da Facebook o a valle di altri data breach, si può però sempre usare Have I been pwned. Abbiamo già parlato a suo tempo della storia di Have I been pwned: l’autore, Troy Hunt, è ovviamente venuto in possesso anche dei 533 milioni di record provenienti dal social network di Mark Zuckerberg, ma facendo il suo servizio capo a una giurisdizione differente, ha ritenuto proseguire con le sue attività, peraltro utilissime.
Digitando il proprio numero di telefono mobile comprensivo di prefisso internazionale +39
nella casella di ricerca su Have I been pwned è possibile sapere se i propri dati siano nel leak di Facebook o sottratti nell’ambito di attacchi informatici sferrati nei confronti di altri soggetti.
La comparsa del messaggio “Oh no – pwned!” e della frase “Facebook: In April 2021, a large data set of over 500 million Facebook users was made freely available for download” conferma che i propri dati, compreso il numero di telefono, sono pubblicati nei file che continuano a circolare online. Una verifica è comunque opportuna anche perché ai tempi Facebook dichiarò che non avrebbe inviato alcuna notifica agli utenti. E anche altri soggetti è verosimile abbiano fatto altrettanto.