A metà marzo scorso le Autorità statunitensi sono riuscite a chiudere uno dei forum sui quali proliferava un ricco “mercato nero” di dati personali e database spesso frutto di attacchi informatici sferrati nel corso del tempo su varie piattaforme.
Flashpoint, nota azienda che si occupa di sicurezza informatica, racconta però che quel forum ha già un suo successore e già non si contano le offerte per l’acquisto di database contenenti informazioni personali razziati un po’ ovunque.
Ciò che sta facendo discutere gli esperti in queste ore è la comparsa di un annuncio che fa riferimento alla vendita di un database contenente circa 100 milioni di numeri di telefono WhatsApp appartenenti ad altrettanti inconsapevoli utenti.
Per ciascun numero di telefono registrato su WhatsApp il file contiene nome e cognome del corrispondente proprietario.
L’archivio proposto sul “mercato nero” conterrebbe 19 milioni di numeri di telefono di utenti italiani, anch’essi abbinati a nomi e cognomi.
La domanda che sorge spontanea è la seguente: come è stato composto l’archivio dei numeri telefonici di WhatsApp se l’app di proprietà di Facebook-Meta non consente di estrarre il nome specificato da ciascun utente in modo automatizzato?
Torna alla mente la procedura inventata dal ricercatore e sviluppatore Loran Kloeze che nel 2017 aveva dimostrato come fosse possibile estrarre numeri di telefono WhatsApp, messaggi di stato, immagini scelte da ciascun utente e informazioni sulle connessioni effettuate ricorrendo ad API non documentate. Lo studio di Kloeze è ancora disponibile su Web Archive.
Anche allora, però, non emerse un sistema per estrapolare automaticamente i nomi associati dagli utenti di WhatsApp ai loro numeri di telefono.
Quale può essere, allora, la provenienza dei 100 milioni di numeri di telefono WhatsApp con tanto di nomi e cognomi (19 milioni solo per l’Italia)?
L’ipotesi più accreditata è che si tratti di un archivio derivato da qualche leak precedente.
Nel 2019 un gruppo di utenti ad oggi non identificati riuscì a razziare i dati personali di 533 milioni di utenti iscritti sul social network (ne avevamo parlato a suo tempo): nomi e cognomi, identificativi, locazioni geografiche, indirizzi email, numeri di telefono, stato civile e altro ancora: 20 GB di dati preziosissimi che sono finiti online e che risultano ancora oggi reperibili sulla rete Torrent.
Non è certo che la rubrica di WhatsApp contenente i 19 milioni di utenti italiani sia stata composta partendo da quelle informazioni ma sono in tanti a ipotizzare che i dati possano essere stati messi insieme da un precedente leak che interessa Facebook per poi effettuare un controllo automatizzato sulla presenza di ciascuna numerazione sul network WhatsApp.
È vero, i dati possono non essere aggiornati dal momento che potrebbero potenzialmente risalire a qualche anno fa ma la tendenza degli utenti è quella di non disfarsi per lungo tempo delle numerazioni mobili.
I 533 milioni di dati relativi ad altrettanti utenti di Facebook sono apparsi per la prima volta online a giugno 2021. Secondo diverse valutazioni dell’incidente occorso all’epoca sul social network di Mark Zuckerberg, gli aggressori avrebbero utilizzato una vulnerabilità presente nella funzione Aggiungi amico di Facebook (poi risolta) che di fatto ha permesso l’esposizione dei numeri di telefono altrui. La sottrazione dei numeri telefonici è stata poi abbinata a un’intensa attività di web scraping tesa a raccogliere quante più informazioni possibile dalle pagine Facebook degli utenti.
Provate a visitare Have I been pwned e a digitare il vostro numero di telefono mobile nel formato internazionale (per l’Italia con il prefisso +39
).
Se dopo una verifica venisse restituito il messaggio Oh no, pwned e poco più sotto fosse presente un riferimento a Facebook (“Facebook: In April 2021, a large data set of over 500 million Facebook users was made freely available for download“), significa che i propri dati sono presenti nel database che ancora oggi continua a girare online.
Non è escluso, quindi, che proprio a partire da quei dati (per l’Italia sono ben 36 milioni di record corrispondenti ad altrettanti utenti Facebook) possa essere stata generata la “rubrica” di WhatsApp della quale tanto si sta parlando in queste ore.
Ma mentre quest’ultima non è ancora diventata di “pubblico dominio”, la prima è sbattuta ai quattro venti, ad esempio, sulla rete Torrent ed è forse ancora più pericolosa: le informazioni che essa contiene possono essere utilizzate, ad esempio, per lanciare attacchi phishing molto convincenti usando informazioni che di norma un soggetto terzo non dovrebbe e non potrebbe conoscere.