Il data breach del 2019 rischia di provocare seri problemi agli utenti del popolare social
di Michele Pinassi*
“Non credere mai nella tecnologia moderna. Credi soltanto alla tecnologia passata.” (1° legge del Cavernicolo)
SIENA. Ricordate il post di qualche settimana fa su I dati di oltre 500 milioni di account Facebook su oltre 106 paesi in vendita sul web? Da oggi pomeriggio, questi dati sono disponibili gratis per chiunque sappia dove andarli a prendere.
Mentre un attore ha pubblicato i link di scaricamento dei database dietro “pagamento” di 8 crediti, una valuta “virtuale” del forum di riferimento, un secondo utente ha pubblicato tali link gratuitamente, rendendo di fatto accessibili a chiunque nome, cognome, numero di cellulare, indirizzo e-mail (alcuni), sesso, occupazione, città attuale e città precedenti, data di nascita, paese, stato civile, Facebook ID, data creazione dell’account, bio di oltre 500 milioni di utenti Facebook, tra cui 35,677,323 italiani. Come dicevo nel precedente articolo sul tema, sembrano dati esfiltrati da una vulnerabilità scoperta a inizio 2020 che ha permesso lo scraping dei dati personali di questo enorme numero di utenti: All 533,000,000 Facebook records were just leaked for free. This means that if you have a Facebook account, it is extremely likely the phone number used for the account was leaked. I have yet to see Facebook acknowledging this absolute negligence of your data. https://t.co/ysGCPZm5U3 pic.twitter.com/nM0Fu4GDY8— Alon Gal (Under the Breach) (@UnderTheBreach) April 3, 2021
A prima vista, i dati relativi agli account italiani sono corretti. 15 milioni di donne, 18 milioni di uomini. L’aspetto più antipatico è la presenza del numero di cellulare privato (usato per la registrazione), oltre a circa 450mila indirizzi mail.
Alcuni motori di ricerca specializzati, come IntelligenceX, si stanno preparando a indicizzare il database: We are currently preparing to index that data. https://t.co/4vFYOAOqZV — Intelligence X (@_IntelligenceX) April 4, 2021 e oltre 2 milioni di indirizzi mail sono già stati inclusi sul noto portale Haveibeenpwned.com, dove potete verificare la presenza della vostra e-mail nei data breach.
Si dice che Facebook abbia riferito che si tratta di “dati vecchi”, del 2019, esfiltrati grazie a una “falla” poi corretta. Questa mossa, tuttavia, rischia di scatenare un serio problema per il popolare social network e per i suoi utenti: non solo attacchi di social engineering e spear phishin, ma anche stalking e sfruttamento delle informazioni per individuare utenti da molestare.
Un brutta “sorpresa di Pasqua” che arriva a poche ore dalla conferma della sanzione milionaria a Facebook, che aveva indotto – secondo l’Antitrust – “ingannevolmente gli utenti consumatori a registrarsi […] non informandoli adeguatamente e immediatamente, in fase di attivazione dell’account, dell’attività di raccolta, con intento commerciale, dei dati da loro forniti, e, più in generale, delle finalità remunerative che sottendono la fornitura del servizio di social network, enfatizzandone la sola gratuità”.
Vale la pena, a tal proposito, citare una frase del ricorso di Facebook (poi rigettato) alla sanzione: “I dati personali di ciascun individuo costituiscono un bene extra commercium, trattandosi di diritti fondamentali della persona che non possono essere venduti, scambiati o, comunque, ridotti a un mero interesse economico“. In realtà, come abbiamo visto, questi dati – uniti al surplus comportamentale – hanno un enorme valore anche economico, soprattutto se vengono utilizzati per offrire servizi (a pagamento) ad aziende terze e a conquistarsi posizioni di predominio anche nel campo della propaganda politica (ad es. Cambridge Analytica o “La bestia”).
Da apprezzare, quindi, che in Europa il clima nei confronti delle GAFAM stia cambiando, a favore della privacy e degli utenti. Non saprei dire se sia troppo tardi per un cambio di rotta: il potere economico e la velocità con cui queste aziende riescono a cambiare le loro dinamiche è decisamente superiore alla capacità della politica e del legislatore di comprendere i fenomeni, e i conseguenti rischi, che oggi dominano il settore dei Big Data.
Certamente noi utenti possiamo fare molto. La prima sfida è riuscire a comprendere la vastità e i potenziali impatti di una concentrazione così grande dei nostri dati personali e comportamentali nelle mani di poche multinazionali private. Il leak di cui parlo in questo articolo può darci un timido assaggio.