La notizia sta avendo ed ha avuto un'eco gigantesca: durante il fine settimana di Pasqua sono stati pubblicati online, su un popolare forum di hacking, i dati di oltre 533 milioni di utenti Facebook. Tra questi figura addirittura il fondatore di Facebook, coinvolto personalmente dal leak. Ciò che rende particolarmente allarmante questo leak è il fatto che i record contengono dati disponibili pubblicamente sui profili utente, ma anche i numeri di telefono associati.

Per essere precisi i dati pubblicati appartengono a 533,313,128 utenti Facebook e contengono informazioni quali il numero di telefono, l'ID Facebook, il genere, l'indirizzo fisico di residenza, lo stato sentimentale, la posizione lavorativa, la data di nascita e l'indirizzo email.

106 sono i paesi riguardati dal leak e l'Italia sembra essere tra quelli più colpiti: 35 milioni sarebbero i record relativi ad account di utenti italiani.

L'origine di questo gigantesco leak non è chiara: c'è però chi sospetta, nella comunità dei ricercatori di sicurezza, che gli attaccanti che hanno diffuso i dati possano aver sfruttato una vulnerabilità presente nel 2019 su Facebook e ad ora risolta. Parliamo della funzionalità "Add Friend" che, prima di essere corretta, consentiva ad utenti non autorizzati di avere accesso ai numeri di telefono dei membri.

I dati sono in vendita sul forum per otto "crediti", una forma di valuta attiva sul forum in questione e che è pari a circa 2.19 dollari. Gli esperti indicano che un prezzo così basso per una mole tale di dati è in realtà piuttosto comune. I dataset di questo tipo vengono inizialmente venduti a prezzo altissimo tramite contrattazione privata, poi il loro prezzo inizia a scendere fino a quando qualcuno non pubblica il dataset gratuitamente o a prezzo bassissimo fondamentalmente con l'unico scopo di acquisire reputazione nella comunità hacker. Sotto la suddivisione per area geografica degli account compromessi:

• Egitto >  44,823,547
• Tunisia >  39,526,412
• Italia >  35,677,323
• USA >  32,315,282
• Arabia Saudita > 28,804,686
• Francia >  19,848,559
• Turchia > 19,638,821
• Marocco > 18,939,198
• Colombia > 17,957,908
• Iraq 17,116,398
• Messico > 13,330,561
• Malesia > 11,675,894
• Regno Unito > 11,522,328
• Algeria > 11,505,898
• Spagna > 10,894,206
• Russia > 9,996,405
• Sudan > 9,464,772
• Nigeria > 9,000,131
• Peru > 8,075,317

Le conseguenze: i Garanti europei corrono ai ripari
Il garante irlandese ha immediatamente avviato un'indagine sul data leak pur non avendo ricevuto segnalazione da Facebook. I dati infatti derivano da uno scraping massivo dei profili avvenuto nel 2018, prima dell'entrata in vigore del GDPR, quindi Facebook ha deciso di non notificare il leak come una violazione dei dati personali ai sensi del GDPR.

Il Garante italiano, anche smosso dall'evidenza che l'Italia è il terzo paese più colpito al mondo a questo leak, ha scritto direttamente a Facebook richiedendo una azione immediata non solo per informare gli utenti riguardati dal leak, ma anche per consentire a tutti di verificare se il proprio acccount sia stato rubato o meno. Ad ora infatti, l'unico servizio di verifica è gestito da ricercatori di sicurezza terzi, che hanno aggiunto al servizio https://haveibeenpwned.com anche il database coi dati sottratti a Facebook: basterà inserire la propria email o numero di telefono per verificare l'eventuale furto dell'account.

In attesa che Facebook, quindi, renda disponibile un proprio servizio di verifica, il Garante ha pubblicato una serie di consigli per gli utenti:

"L’Autorità richiama inoltre tutti gli utenti interessati dalla violazione alla necessità di prestare, nelle prossime settimane, particolare attenzione a eventuali anomalie connesse alla propria utenza telefonica: come, ad esempio, l’improvvisa assenza di campo in luoghi dove normalmente il cellulare ha una buona ricezione. Un tale evento potrebbe essere il segnale che un criminale si è impossessato del nostro numero di telefono per usarlo a scopo fraudolento.

In questo caso è importante contattare immediatamente il call center del proprio operatore telefonico per verificare le ragioni del problema e, in particolare, per verificare che terzi, fingendosi noi, non abbiano chiesto e ottenuto un trasferimento della nostra numerazione su un’altra SIM.

Il Garante richiama infine l’attenzione di tutti gli utenti sull’importanza di diffidare di eventuali messaggi di testo provenienti dal numero di telefono di persone che conosciamo, con i quali vengano chiesti soldi, aiuto o dati personali, perché potrebbe trattarsi di una truffa azionata da malintenzionati che si sono impossessati della nostra numerazione".