Fabio Buccigrossi, Country Manager di Eset Italia risponde al quesito di tanti utenti se i dati rubati in un data breach scadono.
Violare i dati in grande quantità
“Violato mezzo miliardo di dati degli utenti di Facebook”. Questo è uno dei tanti titoli apparsi sui media recentemente. Qualsiasi violazione dei dati, specialmente quando colpisce una così grande quantità di utenti, è spiacevole sia per l’azienda sia per le persone coinvolte. In questo caso, però, sembra essere una vecchia notizia con una nuova svolta.
I dati rubati in data breach
La timeline di questa violazione dei dati, secondo Facebook, inizia nel 2018. Quando è emerso che malintenzionati stavano abusando di una funzione di Facebook che permetteva a un utente di cercare un altro utente tramite il numero di telefono per localizzarlo sul social network. Questa funzione era particolarmente utile nelle aree in cui molti utenti condividono lo stesso nome e cognome.
Rendendo complesso rintracciare la persona che si sta realmente cercando. Sfortunatamente, questo ha permesso agli hacker di abusare della funzione. E “attaccare” Facebook utilizzando l’automazione e gli script per compilare un database che, come minimo, includeva il nome e il numero di telefono della vittima.
Data breach – Lo scandalo Cambridge Analytica
Facebook ha rimosso la funzione nell’aprile 2018, poco dopo lo scandalo Cambridge Analytica, identificata l’attività di ‘scraping’ dannosa. In seguito, nel 2019, come riportato da TechCrunch, un ricercatore di sicurezza ha trovato online i record di 400 milioni di account Facebook in un database non protetto. All’epoca, Facebook ha confermato che i dati erano “vecchi”. E sembravano essere stati raccolti prima della rimozione della funzione di ricerca nel 2018. I dati non protetti sono stati rimossi dall’accesso pubblico.
Lo studio di ESET Italia
Recentemente la CNN e numerosi altri media hanno riferito che i ricercatori in ambito cybersecurity hanno identificato un database non protetto e accessibile al pubblico che sembrerebbe avere lo stesso contenuto di quello scoperto nel 2019. C’è l’ipotesi, come riportato da TechCrunch, che al set di dati originale sia aggiunto il database sottratto nel 2018. La Commissione irlandese per la protezione dei dati (DPC) sta lavorando per ricostruire i fatti e per accertare se la violazione è avvenuta prima dell’entrata in vigore del regolamento generale sulla protezione dei dati (GDPR).
Se al momento dello scraping il profilo della vittima su Facebook era pubblico, il malintenzionato potrebbe aver raccolto ulteriori informazioni, più personali, poi eventualmente utilizzate per creare un profilo della vittima. I dati che contengono informazioni di identificazione personale potrebbero essere utilizzati contro la vittima in furti di identità, phishing mirato, social engineering, acquisizione di account e altre truffe che potrebbero causare danni significativi.
Data breach – Il valore dei dati e il passare del tempo
Il valore dei dati diminuisce nel tempo? La risposta è sia sì che no. Il numero di telefono, ad esempio, potrebbe essere lo stesso oggi come nel 2018. Oppure informazioni statiche come la data di nascita rimangono le stesse. E anche una linea temporale di attività non cambierebbe ma si sarebbe solo fermata al punto in cui i dati sono stati raccolti. Mentre le password, che questi dati non contengono, è probabile che siano cambiate negli ultimi tre anni.
Il sito di monitoraggio delle violazioni dei dati Have I Been Pwned (HIBP) nota che solo 2,5 milioni di record trovati nei dati non protetti accessibili al pubblico includevano un indirizzo e-mail. Tuttavia, la maggior parte dei record conteneva nomi, sesso, data di nascita, posizione, stato di relazione e datore di lavoro. Tali dati sono da considerarsi personali, anche senza un indirizzo email, e rappresentano una compromissione della nostra identità e qualcosa di cui è opportuno preoccuparsi.
Come controllare se si è stati colpiti
Per gli account utente contenenti un indirizzo email, autori malintenzionati potrebbero tentare di accedere a Facebook e ad altri siti e servizi utilizzando l’indirizzo email e tecniche brute force con password di uso comune. Se la vittima usa solo password semplici, la stessa su molti siti, e non le cambia mai, allora deve agire oggi stesso – cambiare le password, renderle uniche e complesse e attivare l’autenticazione a più fattori. È possibile controllare se si fa parte dei 2,5 milioni di account compromessi sul sito dell’HIBP. Aspetto ancor più importante, il sito ora permette anche di controllare se il proprio numero di telefono è esposto nella violazione.
Il monitoraggio e la vigilanza sono fondamentali
Perché questo è importante, al di là della grande quantità di numeri di telefono sottratti? Se riceviamo un SMS per reimpostare la password di Netflix o che ci informa che c’è una gift card per noi, allora dobbiamo essere consapevoli che autori malintenzionati probabilmente useranno i dati. Questi ultimi hanno nome e numero di telefono, e potrebbero progettare un attacco di social engineering che otterrà l’accesso o dati che potranno poi monetizzare. È anche probabile che gli stessi possano aver combinato queste informazioni con altri dati violati, che potrebbero includere il nostro indirizzo email e altri dati personali, ottenendo così sufficienti informazioni per lanciare un attacco di social engineering credibile.
La vigilanza e un atteggiamento guardingo nei confronti di ogni messaggio ed e-mail che riceviamo sarà utile a proteggere i nostri account online. Unitamente a password uniche per ogni account, l’autenticazione a più fattori e un software di sicurezza multi-livello di qualità contribuiranno a proteggerci. E se non riusciamo a ricordare le password o a crearne di uniche e complesse, allora prendiamo in considerazione un gestore di password. Eset racchiude in ESET Smart Security Premium, la massima protezione informatica per la sicurezza online degli utenti e una facile gestione delle password.
