Pagine bianche dei numeri di cellulare italiani: attenzione perché continuano a circolare online

• Privacy
• Social networking

Le piattaforme social custodiscono un tesoro di valore inestimabile: petabyte di dati personali degli utenti. Quando si verifica un incidente come quello occorso a Facebook ai tempi dell’affaire Cambridge Analytica è un grosso problema perché i criminali informatici possono mettere le mani su informazioni utilissime per lanciare attacchi phishing molto efficaci.

È di aprile 2022 la notizia della pubblicazione di 100 milioni di numeri di telefono di utenti iscritti a WhatsApp con tanto di nomi e cognomi (19 milioni appartengono a italiani).
Come spiegato nell’articolo, diversi forum online vendono quei dati sul mercato nero a cifre variabili e i criminali informatici sono soliti attingervi a piene mani. Perché? Perché possono inviare messaggi truffaldini ai singoli utenti e renderli più plausibili dal momento che il nome e cognome della potenziale vittima, ad esempio, è già noto.

Ad aprile 2021 è emerso che un gruppo di sconosciuti avrebbe sottratto a Facebook le informazioni personali di circa 533 milioni di utenti.
La notizia destò grande scalpore e Facebook si affrettò a precisare che i dati relativi ai 533 milioni di utenti non erano frutto della violazione dei server del social network bensì la conseguenza di una pesante e ben orchestrata attività di scraping.
Lo scraping è la scansione automatizzata del contenuto delle pagine Web della piattaforma, attività peraltro vietata ma svolta anche da qualche azienda dal nome altisonante (si pensi alla multa da 20 milioni di euro comminata dal Garante Privacy italiano comminata a marzo 2022).

L’azienda oggi di proprietà della casa madre Meta ha aggiunto che i dati sarebbero stati rastrellati intorno a settembre 2019 sfruttando la funzionalità che permetteva di importare gli amici su Facebook.
Tale strumento esiste ancora oggi (Carica i contatti) ma Facebook assicura che proprio nel 2019 i tecnici dell’azienda hanno rimosso il bug che consentiva l’estrazione di un certo numero di informazioni dai profili degli utenti registrati.

Cos’hanno fatto gli aggressori fino a settembre 2019? Hanno caricato una lunga serie di numeri di telefono mobili per verificare a quali profili Facebook corrispondevano per poi estrarre dati pubblici come nomi e cognomi, identificativi, locazioni geografiche, indirizzi email, numeri di telefono, stato civile e altro ancora. Sono questi i dati che si trovano nei file resi di pubblico dominio, da parte di ignoti, dal mese di aprile 2021.
L’evento ha immediatamente provocato la reazione del Garante Privacy italiano che ha pubblicato un importante provvedimento.

Perché ancora oggi parliamo dell’incidente che ha interessato Facebook nel 2019 e che ha portato alla pubblicazione dei dati di 533 milioni di utenti registrati (escluse password, informazioni finanziarie e sulla salute) di cui circa 36 milioni italiani?
Perché negli ultimi mesi da più parti si stanno segnalando campagne phishing sempre più aggressive e ben congegnate che si presentano sotto forma di messaggi, spesso SMS, inviati sui dispositivi mobili degli utenti.
È ovvio che conoscendo numeri di telefono, nomi e cognomi, attività lavorativa, locazione geografica delle potenziali vittime i criminali informatici possono mettere a punto tentativi di aggressione che appaiono più convincenti.
A questo proposito vi segnaliamo un simpatico quiz per riconoscere il phishing e l’articolo in cui spieghiamo cos’è un URL e come scoprire quelli pericolosi.

Anche il database, del quale abbiamo parlato nell’introduzione, contenente i dati di 19 milioni di utenti italiani registrati su WhatsApp con nomi, cognomi e numeri di telefono potrebbe essere frutto di una rielaborazione del file diffuso online a partire da aprile 2021.

Per difendersi da chi effettua lo scraping ovvero la raccolta su vasta scala di informazioni su Facebook è fondamentale accedere a Facebook come visitatore senza iscrizione o in incognito per verificare quali informazioni si stanno condividendo pubblicamente. E come regola generale si dovrebbero ridurre al minimo le informazioni personali presentate pubblicamente (quindi alle persone sconosciute e agli amici di amici).

Pagine bianche dei numeri di cellulare italiani

Oltre agli attacchi phishing “mirati” che stanno sempre più bersagliando anche gli utenti italiani, ci sono alcuni siti Web che permettono di scoprire il legame tra una persona e il corrispondente numero di telefono mobile.

Il fatto è che i file contenenti i dati dei 533 milioni di utenti Facebook sono ancora oggi facilmente reperibili su Internet: com’è noto, infatti, quando un contenuto compare sulla rete BitTorrent è praticamente impossibile arrestarne la distribuzione.
Come abbiamo visto nell’articolo dedicato al client qBittorent finché esiste almeno un peer in possesso del file esso può restare disponibile per qualunque utente interessato.

Il Garante Privacy ha subito avvertito “chiunque sia entrato in possesso dei dati personali provenienti dalla violazione, che il loro eventuale utilizzo, anche per fini positivi, è vietato dalla normativa in materia di privacy, essendo tali informazioni frutto di un trattamento illecito“. In altre parole il riutilizzo delle informazioni relative ai 533 milioni di utenti Facebook è severamente vietato a ogni livello.

I buoi sono però ormai da tempo fuggiti dalla stalla e anche se di recente non se n’è più parlato è altamente probabile che i criminali informatici stiano usando i dati pubblicati ad aprile 2021 per tendere tranelli e progettare aggressioni mirate.

In questa immagine (fonte: Bleeping Computer) è riportato un esempio della struttura dei dati sottratti.
Un semplice comando Linux come il seguente permetterebbe di estrarre dai file composti dopo l’attività di scraping su Facebook il numero di telefono di qualunque persona:

grep -Ri ./file.txt -e "nome:cognome"

In alternativa, digitando un comando come quello che segue si potrebbero potenzialmente estrarre tutti i dati relativi a un utente iscritto a Facebook (nell’immagine diffusa da Bleeping Computer si vede come il secondo dato sia l’ID Facebook):

grep -Ri ./file.txt -e ID_Facebook

Supponiamo che un aggressore voglia estrarre i dati e soprattutto rilevare il numero di telefono di una persona registrata su Facebook: dopo aver visitato il suo profilo questi dovrebbe soltanto premere la combinazione di tasti CTRL+U quindi CTRL+F per avviare una ricerca e infine digitare userID.
A destra della stringa userID viene mostrato l’identificativo Facebook dell’utente: sostituendolo a ID_Facebook nel comando precedente ecco che apparirà il numero di telefono della persona individuata.

Al posto del nome e cognome è addirittura possibile estrarre tutti gli utenti, insieme con i loro numeri di telefono, che risiedono in una certa località, lavorano per una specifica azienda o svolgono una certa attività.

Anche a distanza di tempo è quindi essenziale comprendere la portata della problematica ed essere consapevoli che quei 533 milioni di record provenienti da Facebook possono ancora oggi essere utilizzati per fare danni.

Vale la pena evidenziare che chi non aveva mai fornito un numero di telefono a Facebook con buona probabilità non risulta presente, secondo l’analisi degli esperti, nel “leak” di aprile 2021. Ancora una volta, quindi, anche gli utenti possono e dovrebbero sempre seguire un principio che si ispira a quello di minimizzazione dei dati previsto nel Regolamento generale sulla protezione dei dati (GDPR): è bene evitare di condividere più dati di quelli espressamente richiesti per l’attivazione di un servizio o per l’accesso ad esso.

Un gruppo di sviluppatori italiani aveva a suo tempo realizzato e varato il sito HaveIbeenFacebooked per capire se il numero di telefono e altri dati personali fossero stati sottratti da Facebook. A seguito del provvedimento dal Garante Privacy citato in precedenza, gli autori di HaveIbeenFacebooked hanno chiuso il servizio.
Per controllare la presenza del proprio numero di telefono e di altri dati “razziati” dalla pagina pubblica del profilo Facebook si può però sempre usare Have I been pwned.

Abbiamo già parlato a suo tempo della storia di Have I been pwned: l’autore, Troy Hunt, è ovviamente venuto in possesso dei 533 milioni di record provenienti dal social network di Mark Zuckerberg ma facendo capo il suo servizio a una giurisdizione differente ha ritenuto proseguire con le sue attività, peraltro utilissime.

Digitando il proprio numero di telefono mobile comprensivo di prefisso internazionale +39 nella casella di ricerca su Have I been pwned è possibile sapere se i propri dati siano nel leak di Facebook contenente 533 milioni di record.

La comparsa del messaggio “Oh no – pwned!” e della frase “Facebook: In April 2021, a large data set of over 500 million Facebook users was made freely available for download” conferma che i propri dati, compreso il numero di telefono, sono pubblicati nei file che continuano a circolare su BitTorrent e su altri canali. Una verifica è comunque opportuna anche perché ai tempi Facebook dichiarò che non avrebbe inviato alcuna notifica agli utenti.