Facebook è finita in un nuovo scandalo, anche questa volta connesso alla privacy: un database con dentro i record di decine di milioni di utenti – compresi i numeri di telefono – è stato scoperto online, accessibile a tutti. Un episodio molto grave, che riporta l’attenzione sull’uso ambiguo che il social fa dei nostri dati e potrebbe esporre i numeri coinvolti al rischio di clonazione della SIM.
Il tutto, per altro, è accaduto nel giorno in cui il senatore democratico dell’Oregon, Ron Wyden, ha proposto di mandare l’amministratore delegato e fondatore di Facebook, Mark Zuckerberg, in prigione, TechCrunch lancia la notizia di un altro incidente che ha coinvolto il popolare social media.
Ma andiamo con ordine.
Il senatore Ron Wyden in una intervista rilasciata a Willamette Week, un settimanale di Portland ha dichiarato che Mark Zuckerberg ha “ripetutamente mentito al popolo americano sulla privacy. Penso che dovrebbe essere ritenuto personalmente responsabile, dalle multe finanziarie e – permettetemi di sottolinearlo – alla possibilità di una pena detentiva”.
A fare una dichiarazione così forte è un politico che nel 2018 ha presentato un disegno di legge, il Consumer Data Protection Act, che darebbe alla FTC (Federal Trade Commission) il potere di reprimere più duramente le aziende che violano la privacy dei consumatori. Il disegno di legge prevede che i dirigenti potrebbero dover affrontare fino a 20 anni di prigione e fino a 5 milioni di dollari di multa personale.
La stessa Federal Trade Commission nello scorso mese di luglio ha comminato a Facebook una multa di 5 miliardi di dollari, la più grande mai imposta dalla FTC ad una società di tecnologia, ma per il grande pubblico una sanzione peraltro così importante è sembrata solo un “buffetto” per questa ricca società della Silicon Valley.
Lo prova il fatto che alla notizia della sanzione le azioni di Facebook sono addirittura cresciute di valore.
Il senatore Wyden sta evidentemente cavalcando questo umore popolare: molti vorrebbero un segnale più forte – con l’applicazione di pene detentive -verso le grandi aziende tecnologiche che violano la privacy dei consumatori per ottenere grandi profitti. La sola Facebook nel 2018 ha fatturato 55 miliardi di dollari, quasi tutti derivanti dalla pubblicità.
La scoperta di Techcrunch
Veniamo ora a quanto, praticamente nello stesso momento, ha scoperto TechCrunch, un autorevole blog statunitense che si occupa di tecnologia e di informatica.
Secondo quanto pubblicato il 4 settembre da TechCrunch (e la notizia è stata rilanciata poi anche da MacRumors) è stato individuato in rete un server contenente un database con oltre 419 milioni di dati degli utenti di Facebook. Il server contenente questi dati non era protetto con una password ed era quindi accessibile per chiunque.
La scoperta è stata fatta da Sanyam Jain, ricercatore di sicurezza e membro della GDI Foundation (organizzazione non-profit che ha come scopo la difesa di un’Internet libera, aperta e più sicura) che ha trovato il database e ha contattato TechCrunch, dopo che non è riuscito a trovare il proprietario. Ma dopo che TechCrunch a provato a contattare l’host web, il database è stato messo offline.
Dall’indagine fatta dagli scopritori, il database comprendeva 133 milioni di record di utenti di Facebook negli Stati Uniti, 18 milioni di utenti nel Regno Unito e 50 milioni di utenti in Vietnam. Non si sa se siano presenti anche numeri di italiani.
Ogni record conteneva un ID Facebook dell’utente e il numero di telefono collegato all’account. L’ID Facebook di un utente è un numero lungo ed univoco che può essere associato ad un account per scoprire lo username di una persona.
TechCrunch ha potuto verificare un certo numero di record nel database, confrontando il numero di telefono di un utente conosciuto di Facebook con il suo ID Facebook presente nell’elenco.
TechCrunch e Sanyam Jain hanno poi verificato altri record, confrontando i numeri di telefono con la funzione di reimpostazione della password di Facebook, che può essere utilizzata per rivelare parzialmente un numero di telefono collegato a un account. I record avevano principalmente numeri di telefono, ma in alcuni casi comparivano anche nomi utente, sesso e località.
E – a quanto pare – sono stati anche trovati profili con numeri di telefono associati ad alcuni personaggi famosi.
Sembra che il database scoperto risalga ad almeno un anno fa. Il portavoce di Facebook Jay Nancarrow ha dichiarato che: “Questo insieme di dati è vecchio e sembra che le informazioni siano state ottenute prima che facessimo delle modifiche l’anno scorso per rimuovere la possibilità delle persone di trovare altri utilizzando i loro numeri di telefono”.
L’Uso che Facebook fa dei nostri numeri di telefono
L’uso che Facebook fa dei numeri di telefono degli utenti è sempre stato molto ambiguo e con risvolti inquietanti per la privacy: fino ad un anno fa l’autenticazione a due fattori (2FA) su Facebook era possibile solo dando il proprio numero di telefono (al quale veniva inviato via SMS il codice numerico di seconda autenticazione).
Tale numero di telefono doveva essere usato da Facebook solo per la 2FA, ma Jeremy Burge, fondatore di Emojipedia, ha scoperto che un numero di telefono registrato per la 2FA era ricercabile direttamente sul social.
In realtà questa impostazione può essere disabilitata dall’utente tramite la pagina dedicata nelle impostazioni Privacy di Facebook, ma l’impostazione predefinita alla voce “Chi può cercarti usando il numero di telefono che hai fornito?” è “Tutti”. E la maggioranza degli utenti non ne è neppure a conoscenza o non sa come modificarla.
Non solo: Gizmodo ha segnalato che il numero di telefono utilizzato per la 2FA veniva fornito anche agli inserzionisti per profilare i post.
Nel 2018 Facebook ha dovuto offrire per la 2FA anche l’opzione alternativa con l’utilizzo di app dedicate (che generano il codice di verifica), quali Authy o Google Authenticator.
È una soluzione più sicura e da preferire al codice via SMS, come spieghiamo in questo articolo.
Questo tema pone in evidenza un altro grave rischio che l’esposizione del database con i numeri di telefono può generare: quello della “SIM Swap fraud”, cioè la clonazione della SIM.
Si tratta di una truffa che si sta diffondendo in modo preoccupante e che può consentire ad un malintenzionato di violare i nostri account.
In pratica, se questi conosce il numero di telefono collegato ad un account può riuscire ad ottenere un trasferimento del numero su un’altra SIM in suo possesso, riuscendo poi ad impossessarsi dell’account.
Questa operazione non dovrebbe essere possibile, ma i controlli da parte degli operatori telefonici sono spesso inadeguati e può bastare una semplice telefonata del tipo: “Mi hanno rubato il telefono, mi serve un’altra SIM su cui riavere il mio numero…”, magari aiutata da qualche abilità di social engineering per convincere l’operatore.
Entrato in possesso del nostro numero, il truffatore avrà facilmente accesso a qualsiasi cosa collegata a quel numero di telefono: sarà lui, ad esempio, a ricevere via SMS i codici di verifica a due fattori del nostro account. Ma potrà anche utilizzarlo per la reimpostazione della password, entrando quindi in possesso dell’account, al quale il legittimo proprietario non riuscirà più ad accedere. E se si tratta di account bancari o Paypal (come mi è capitato di vedere) i danni possono essere significativi.
Concludiamo quindi rimarcando l’importanza del numero di telefono del nostro smartphone, che è diventato un passe-partout da proteggere con attenzione. E da non inserire con superficialità quando ci viene richiesto dai siti web, perché – come spiegato – potrebbe essere usato per truffarci o, quantomeno per profilarci.
