(di Federica De Stefani, avvocato e responsabile Aidr Regione Lombardia) Nel 2019 i dati di oltre 500 milioni di utenti registrati su Facebook sono finiti nelle mani degli hacker: il data breach è ormai vecchio di un paio di anni, ma la preoccupazione che desta questa sottrazione è estremamente attuale.
Quei dati, infatti, nonostante il tempo trascorso, rappresentano ancora un pericolo reale e concreto per i soggetti ai quali sono stati sottratti poiché potrebbero essere utilizzati per scopi illeciti.
La violazione, come detto avvenuta nel 2019, era stata causata da una falla nel sistema di sicurezza e aveva reso disponibili dati personali (tra i quali nome e cognome, indirizzo e-mail e numero di telefono) di milioni di utenti appartenenti a diversi Paesi.
I dati erano circolati in alcuni forum di hacker, Facebook aveva dichiarato di aver risolto il problema già nell’agosto dello stesso anno e il leak non aveva suscitato grande attenzione mediatica molto probabilmente per la difficoltà con la quale i dati messi in vendita potevano essere consultati e utilizzati.
All’inizio di quest’anno, tuttavia, quegli stessi dati sono stati utilizzati come database di un bot di Telegram che consentiva, a prezzi più contenuti e con un sistema molto più facile da utilizzare, di risalire al numero all’ID dell’account Facebook inserendo il numero di cellulare (e viceversa).
Nelle ultime settimane i dati sono infine stati resi pubblici in maniera gratuita da più fonti.
È evidente, a questo punto, che il danno è stato fatto, i dati sono stati sottratti e sono (potenzialmente) esposti ad utilizzi illeciti.
Cosa fare quindi per limitare al massimo le possibili implicazioni negative?
Se la regola generale prevede di immettere il minor numero di informazioni possibili sui social network bisogna capire come potersi proteggere laddove, come nel caso di specie, il data breach sia già avvenuto e si debba correre ai ripari.
Partiamo dalla tipologia di dati che sono stati interessati dalla violazione.
Indirizzo email e numero telefonico in primis.
Inutile dire che per quanto concerne le caselle di posta elettronica è necessario concentrare la propria attenzione sulle password, modificandole utilizzando sistemi che possano garantire un alto livello di sicurezza.
Divieto assoluto, quindi, di creare password che riportino informazioni personali, direttamente ricollegabili alla persona in questione o ai familiari, agli animali domestici o alle ricorrenze, a soprannomi, squadre del cuore o sport praticati.
Meglio optare per un sistema di “passphrase”, che consente di generare un codice alfanumerico ricollegabile ad una frase scelta dall’utente e che può facilmente ricordare, o a un password manager che consente di generare password con un alto livello di sicurezza senza doversi occupare personalmente della memorizzazione delle stesse.
Può sembrare scontato, ma la password è la vulnerabilità alla quale ancora oggi risulta più esposta la maggioranza delle persone se si considera che secondo gli studi più recenti le password più utilizzate nel 2020 sono state “123456” “password” e “qwerty” (per quest’ultima controllate la sequenza dei tasti sulla tastiera di un qualsiasi pc).
Sempre per quanto riguarda le mail è indispensabile controllare con estrema attenzione il mittente poiché molto spesso gli indirizzi utilizzati per le truffe sono simili e possono trarre in inganno, divergendo dall’originale magari per un solo carattere. È quindi necessario verificare con attenzione l’indirizzo esteso, prestando attenzione anche alla tipologia di messaggio che si riceve. Richieste di dati, di accedere a link, di scaricare allegati devono essere trattati con estrema cautela, effettuando un doppio controllo preventivo, magari interpellando il mittente con una telefonata per accertarsi della veridicità del messaggio e della richiesta contenuta nello stesso. È indispensabile approcciarsi con la stessa diffidenza anche alle richieste di dati che dovessero essere contenute in sms o effettuate a voce da chi vi contatta telefonicamente.
Per quanto riguarda, invece, il numero di telefono è fondamentale monitorare eventuali anomalie riscontrate sul proprio numero di cellulare.
In primo luogo è necessario che qualsiasi irregolarità nel funzionamento venga verificata attraverso il proprio operatore telefonico, ma è altresì fondamentale prestare attenzione a tutti quei messaggi che possano, in qualche modo, carpire (ulteriori) dati utili ai criminali per raggiungere il proprio intento, ritornando ancora una volta alle richieste di dati personali, di codici di autenticazione o password segrete per l’attivazione di specifici servizi.
È opportuno, inoltre, eliminare da Facebook (e da altri social
network) il proprio numero di telefono, utilizzando altri metodi per l’autenticazione a due fattori, qui non di certo in ottica di protezione, ma di prevenzione per il futuro.
Per chi volesse infine verificare se la propria mail è stata oggetto di un data breach, non necessariamente quello di Facebook, è possibile consultare il sito https://haveibeenpwned.com/ che permette di identificare eventuali violazioni nelle quali è stato coinvolto il proprio indirizzo mail.