I dati di oltre 500 milioni di account Facebook su oltre 106 paesi in vendita sul web

“Facebook sta diventando una cosa seria. Sto pensando più se accettare o no una
richiesta di amicizia che andare o no a letto con qualcuno.”

Da oltre un mese sono in vendita i dati di oltre 500 milioni di account Facebook degli utenti di oltre 106 paesi: ID (il numero univoco che identifica un certo account), numero di telefono, nome e cognome, indirizzo mail (solo alcuni), posizione geografica, stato relazionale, lavoro.

L’elenco è impressionante e i numero destano davvero preoccupazione. Per l’Italia, il database offerto in vendita contiene oltre 35 milioni di records: il più corposo, dietro solo all’Egitto (44 milioni).

Come in ogni vendita di questo tipo, il venditore mostra alcuni “campioni” del database per far vedere la “merce”:

Ho effettuato qualche veloce verifica dei dati su Facebook e una buona percentuale di essi corrisponde. Anche se solamente il 50% del database in vendita fosse attendibile, si parlerebbe comunque dei dati di oltre 17 milioni di utenti.

Parliamo di un data leak noto già dal maggio 2020, quando venne messo in vendita sul dark web per 30.000$ (Facebook Data of 500 Million Users from 82 Countries Released on the Internet), di cui Facebook non ha mai fatto dichiarazioni.

Questo database sembra circolare nei vari market da un bel po’ di tempo, sotto svariate forme e con diversi venditori (o forse solo pseudonimi). Addirittura, voci parlavano di un bot di Telegram che vendeva on demand questi dati.

Non è ancora chiaro, perlomeno dalle fonti che ho avuto modo di consultare, se l’origine dei dati sia stato un massiccio scraping di Facebook (o delle sue API) oppure un qualche leak che ha permesso un dump degli stessi.

La differenza è sostanziale: scraping significa che, attraverso un sistema automatizzato di analisi delle pagine web legittimamente visualizzate, vengono estratti i dati. Ad esempio, se io decido di mostrare sul mio profilo Facebook la città dove vivo, un sistema automatico di scraping potrebbe recuperare questa informazione. Pertanto le informazioni recuperate da una azione di questo tipo, seppure con numeri così importanti, contiene solo i dati che gli utenti hanno deciso di mostrare.

Diversa storia nel caso di un leak, che sfruttando una falla o un errore di configurazione/programmazione, ha permesso all’attaccante di accedere ed esfiltrare i dati. In questi casi, difficilmente possiamo parlare di una azione lecita.

Ma cosa se ne fanno di questi dati? Beh, un numero di record così importante permette ad esempio di effettuare estrazioni statistiche e usarle, poi, per pianificare campagne pubblicitarie pianificate. Permette di poter realizzare attacchi di social engineering ai danni di privati e delle aziende e, per i record in cui è presente anche l’indirizzo mail, lo scenario degli attacchi possibili è ancora più vasto.

In queste situazioni difendersi diventa davvero difficile, perché quando inseriamo i nostri dati su Facebook e deleghiamo al social network la tutela degli stessi, ne perdiamo parzialmente anche il controllo. Alcuni, contravvenendo alle regole del social network, hanno usato dati fittizzi per l’iscrizione: col senno del poi, è forse la soluzione migliore per difendersi da questi attacchi.