Facebook non protegge i nostri numeri di telefono e la nostra privacy? Dopo le molte polemiche sui cambiamenti dei termini d’uso di Whatsapp, ora si scopre che iscrivendosi al social network si rischia di esporre il proprio numero telefonico (dunque la propria privacy e sicurezza personale) a chiunque sia disposto a pagare. A causa di un vecchio bug della piattaforma di Facebook, qualcuno ha ottenuto i numeri di telefono di centinaia di milioni di utenti e li sta vendendo online attraverso un programma bot collegato a Telegram. Il fatto è stato scoperto dall’esperto di cybersicurezza Alon Gal e raccontato da Motherboard.
L’hacker (o i gruppo di hacker) proprietario del “bottino” sostiene di avere un database contenente i numeri di telefono di 533 milioni di utenti iscritti a Facebook residenti in una ventina di Paesi. Numeri sottratti grazie a una vulnerabilità della piattaforma social, poi risolta nel 2019.
Non è dato sapere se l’archivio includa effettivamente i numeri telefoni di oltre mezzo miliardo di persone, ma la redazione di Motherboard ha testato il funzionamento del bot e verificato che “conteneva il vero numero di telefono di un utente Facebook che cerca di mantenerlo privato”.
Portavoci di Facebook hanno riferito che l’azienda ha anch’essa testato il bot sulla base di dati recenti, registrati in seguito alla risoluzione della vulnerabilità: su questi dati, il bot non ha prodotto risultati. Va da sé che, sebbene il bug non sia più attivo, il furto di dati è un problema attualissimo per le potenziali vittime, che hanno registrato il proprio numero di telefono su Facebook all’atto dell’iscrizione confidando che non sarebbe mai stato condiviso con il mondo esterno.
A detta di Gal, il bot è in attività da almeno un paio di settimane e la sua offerta viene pubblicizzata su un forum di cybercrimine di basso livello. Da qui, chiunque può ottenere i numeri di telefono degli utenti di Facebook, semplicemente pagando, senza dunque dover possedere particolari abilità tecniche. Il bot di Telegram permette di eseguire delle ricerche per trovare numeri di telefono o riferimenti dell’account Facebook ID. Ed è un sistema che azzera la “barriera all’ingresso” per accedere a informazioni personali degli utenti, oltre a consentire il pieno anonimato a chi vende e a chi acquista i dati rubati.
Il bot permette sia di inserire un numero di telefono per ottenere il Facebook ID corrispondente, sia di fare la procedura inversa. Il rischio di truffe, ma anche di stalking, è dietro l’angolo. Il compratore può eseguire un certo numero di ricerche in base ai “crediti” acquisti: si parte da 20 dollari per un credito, cioè una ricerca, per salire con pacchetti d’offerta che arrivano a 5.000 dollari per diecimila crediti.