È nato il forum di Le Alternative: lealternative.forum.Un luogo dove potersi scambiare opinioni, richiedere aiuto e informarsi su privacy, sicurezza e alternative!

Un leak tira l’altro

Articolo creato il: 13 Aprile 2021

È un periodo difficile per i social per quanto riguarda la protezione dei dati personali. Perché intitoliamo questo pezzo un leak tira l’altro? Perché negli ultimi giorni sono uscite diverse notizie che riguardano Facebook, LinkedIn (Microsoft, ricordiamolo) e Clubhouse. Senza dimenticarci ovviamente delll’immenso data breach di febbraio.

Prima di partire: cos’è un leak? Leak in inglese significa “perdita, fuoriuscita” dunque quando parliamo di leak di dati potete immaginarvi come una fuoriuscita di dati personali. Il data breach è una vera e propria violazione dei dati personali. Citiamo dal sito del Garante: “Una violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.”

La notizia di Facebook la conoscete tutti probabilmente. È l’unica di cui abbiamo parlato. Piccolo riassunto: un gigantesco database con dentro 500 milioni di nomi e numeri di telefono girava nel dark web1. Di recente è la notizia è tornata alla ribalta perché il database compromesso è stato reso disponibile per tutti gratuitamente.

Se volete un riassunto ottimo e davvero semplice da capire sul leak di Facebook vi consigliamo la lettura dell’ultima newsletter di Guerre di Rete: Guerre di Rete – #FacebookLeak: molte domande, poche risposte

I dubbi del Garante

Il garante della privacy italiano ha esplicitamente vietato a chiunque di creare un servizio per controllare se il nostro numero di telefono è presente o meno nel leak2. Tanto che il sito haveibeenfacebooked, creato da due giovani italiani, è stato chiuso di corsa proprio per evitare sanzioni e problemi. Non condividiamo del tutto la decisione, anche se ne capiamo le motivazioni legali, per alcuni precisi motivi:

  • perché se non ci fossero quei siti la curiosità di vedere se si è tra i compromessi è alta e potrebbe portare le persone comuni a scaricare database finti con dentro virus, trojan e malware generici e magari finire dritti dritti tra le braccia di impostori e ricattatori;
  • perché da quanto sappiamo il Garante italiano non può obbligare Facebook a notificare tutti ma può solo chiedergli di farlo. Rimane però un nostro diritto sapere se i nostri numeri sono stati rubati o meno.

Un leak tira l’altro

E non è tutto. A questo si aggiunge un nuovo database3, diverso dal precedente, accessibile via bot Telegram, che rivela altri telefoni e profili. Questo nuovo database collega i telefoni a Pagine cui gli utenti hanno messo Mi Piace. Un vero disastro insomma.

Oltre a Facebook una sorte simile è toccata di recente anche a Clubhouse4 e a LinkedIn5.

Il data breach di LinkedIn e quello di Clubhouse

Per quanto riguarda LinkedIn, anche in questo caso il database è enorme: parliamo di altri 500 milioni di utenti6. Se avete LinkedIn potete controllare se la vostra email fa parte del data breach utilizzando questo tool. Attenzione: il tool di CyberNews ci è stato segnalato su Mastodon non essere del tutto affidabile.

LinkedIn, ricordiamolo, è di proprietà Microsoft. E a Microsoft ultimamente non sta andando troppo bene in questo campo: ricordate il gigantesco attacco nei confronti di Exchange di pochi mesi fa?

Quello di Clubhouse sembra fortunatamente leggermente meno grave o perlomeno non sembrano esserci i numeri di telefono al suo interno. Tuttavia sono presenti molti dati personali tra cui:

  • Nome utente
  • Foto
  • Instagram e Twitter handle
  • Data di creazione dell’account
  • Il nome dell’utente che vi ha invitato su Clubhouse

Insomma è abbastanza evidente, ed è una cosa che già sappiamo, che il rischio zero non esiste. Ed è uno dei motivi per cui troviamo terrificante l’obbligo di identificazione tramite numero di cellulare che alcuni social e alcune aziende propongono come “fattore di sicurezza”.

I nostri consigli:

  • non date ai siti e ai social il vostro numero di cellulare con facilità. Quando possibile evitate di inserirlo;
  • quando installate un’app sul cellulare negatele l’accesso ai vostri contatti e negate altre autorizzazioni che pensiate non abbiano senso. In alternativa usate OpenContacts così la vostra rubrica sarà salva in qualunque caso;
  • dove possibile usate sempre l’autenticazione a due fattori tramite app e non SMS. Oltre ad un fattore di sicurezza (la 2FA tramite SMS non è sicura7), più aziende sono state colte in flagrante a usare i numeri di telefono dedicati agli SMS di conferma per farne pubblicità mirata89;
  • iscrivetevi a uno dei servizi gratuiti per controllare se uno dei vostri account risulta compromesso. Qui trovate una lista fatta da noi.

Un leak tira l’altro dunque.

Voi cosa ne pensate? Vi aspettiamo sul nostro subreddit, sul nostro gruppo Telegram o nella nostra stanza Matrix per discuterne!

  1. Ecco i database rubati a Facebook. Che cosa possono farne gli hacker []
  2. Furto di dati da Facebook []
  3. There’s Another Facebook Phone Number Database Online []
  4. Clubhouse data leak: 1.3 million scraped user records leaked online for free []
  5. Come sapere se i propri dati sono finiti nel data breach di LinkedIn []
  6. Data from 500M LinkedIn Users Posted for Sale Online []
  7. IsSMS2FAScure []
  8. Yes Facebook is using your 2FA phone number to target you with ads []
  9. Twitter “Unintentionally” Used Your Phone Number for Targeted Advertising []

Unisciti alle comunità

Se ti piace il nostro lavoro puoi anche donare grazie!

Aiutaci a condividere privacy

Pubblicato
Categorie: Notizie

Di skariko

Autore ed amministratore del progetto web Le Alternative