Furto di dati su Facebook: perché accadono così spesso?

Sempre più spesso si verificano falle di sicurezza online. Per capirne di più abbiamo intervistato Riccardo Meggiato, esperto di Cybersecurity e digital forensics.

Giovedì 8 Aprile 2021

linkedin
cybersecurity

Sulle notizie di cronaca degli ultimi giorni abbiamo letto la notizia del maxi furto di dati avvenuto in pancia ad uno dei colossi social già da tempo nel mirino del Garante: Facebook. Una nuova caduta di stile da parte del social di Mark Zuckerberg, che già in passato ha fatto parlare di sé per alcuni episodi simili. Per scoprire se si è stati vittime del furto di dati su Facebook è nato addirittura il sito https://haveibeenfacebooked.com/.

Di falle nella sicurezza del mondo web se ne parla da sempre: falle di sistema o vulnerabilità tecnologiche ma anche falle culturali, di utilizzo e di approccio che ci portano a parlare sempre più frequentemente di dati rubati, deep web e mercato nero ma anche di cyberbullismo. Qualcosa che cultura, consapevolezza e una maggiore responsabilizzazione nell’utilizzo del web e del digitale potrebbero disinnescare gradualmente. Abbiamo fatto chiarezza su questi e temi con Riccardo Meggiato, consulente ed esperto in cybersecurity e digital forensics e Senior Speaker del WMF.

Partiamo andando al sodo: furto dati Facebook. Secondo le ultime notizie sono stati rubati i dati di 533 milioni di utenti, di cui 37 milioni in Italia. Nomi completi, date di nascita, numeri di cellulare e molti altri dati sensibili. Ci puoi spiegare rapidamente cosa è successo?

Con piacere. Nell'estate del 2019, sfruttando un bug di Facebook, alcuni criminali informatici sono stati in grado di effettuare lo "scraping" dei dati. In buona sostanza, sfruttando dei software automatizzati, erano in grado di ottenere numero di telefono e altre informazioni di un profilo, inserendo nome e cognome. Essendo questi software automatizzati, immagina cosa son riusciti a fare in pochi giorni di lavoro: 533 milioni di profili di questo tipo, appunto. Merce rara, di grande valore, che i criminali hanno pensato di vendere a caro prezzo. Si sapeva del fattaccio, ma il materiale è rimasto sempre nell'underground: chi aveva quei dati li aveva pagati, quindi non c'era motivo di far perdere valore all'investimento pubblicandoli. La notizia è tornata alla ribalta perché, poche settimane fa, qualcuno ha deciso di renderli pubblici. Il problema, già grave prima, ora si ingigantisce.
 
Come è possibile che, dopo lo scandalo Cambridge Analytica nel 2018 e un altro enorme furto di dati nel 2019, Facebook continui ad essere vulnerabile e vittima di questi problemi?

Con Cambridge Analytica abbiamo visto in azione un meccanismo di social engineering (un'app per Facebook che sottraeva i dati personali), col furto del 2019, che ci ha portati al problema attuale, si è trattato invece di una vulnerabilità tecnologica. Purtroppo tutti i software - e Facebook è un software, ricordiamolo - hanno errori di programmazione e, quindi, vulnerabilità. Per questo, qualsiasi software può incorrere ad attacchi e furti. Che succeda a Facebook lo rende ovviamente più evidente e grave, soprattutto perché questa specifica vulnerabilità era tutto sommato ben "visibile", per una realtà che immagino abbia centinaia di professionisti dedicati al controllo del codice. Quindi non mi stupisco che Facebook continui a essere vulnerabile, però mi stupisco che dopo oltre 15 anni caschi in furti così massicci.

 
Cosa è stato fatto dal social di Mark Zuckerberg per impedire attacchi del genere negli ultimi anni? E che strategie si possono mettere in atto nell'immediato futuro?

Hanno una divisione dedita al controllo qualità del codice di primissimo livello, probabilmente fanno il massimo. Se devo azzardare un'ipotesi, ma prendila con le pinze, Facebook inizia a risentire di una stratificazione massiccia del codice. Troppo codice vecchio su cui si poggia quello nuovo, e in queste situazioni accadono i peggiori disastri. Probabilmente servirebbe una riscrittura totale del codice, ma è chiaro che, vista la diffusione di Facebook, non è semplicemente possibile. Ergo? Così, a spanne, dovremo prepararci ad altri problemi di questo tipo.
 
Ma ora Facebook può considerarsi sicura?

Assolutamente no e mi auguro che Facebook per prima non si consideri tale. Sarebbe una presunzione imperdonabile per chiunque si muove nel mondo del software. A Facebook converrebbe investire molto più di quanto già faccia nel suo Bug Bounty Program (https://www.facebook.com/whitehat), vale a dire il programma che tutte le grosse compagnie hanno e che consiste nel ricompensare i ricercatori che trovano errori di programmazione nel codice e li segnalano. Da amici e colleghi che si occupano di questo tipo di ricerca so che Facebook non è molto generosa, in fatto di ricompense. Ecco, nel momento in cui i ricercatori interni non bastano, conviene estendere alla comunità questo genere di caccia ai bug.
 
Quali sono i social o le piattaforme più sicure in termini di privacy e affidabilità?

Nel momento in cui serve la rete, non poniamoci più il problema della privacy e dell'affidabilità: sono perse in partenza.
 
Uno sguardo al problema macro cybersecurity: puoi darci qualche consiglio su come tutelarsi al meglio e non essere vittime inconsapevoli di casi come questi, purtroppo sempre più frequenti nelle cronache?

Sono regole molto semplici ma che richiedono dei sacrifici. Innanzitutto, createvi un indirizzo di posta elettronica davvero secondario, cioè che non userete per niente di serio. Da quel momento, utilizzatelo solo per iscrivervi a social e servizi più a rischio. Se vi viene chiesto di utilizzare scorciatoie per l'iscrizione, come inserire il numero di telefono, cercate un'opzione per una registrazione più tradizionale, in cui sfoderare il vostro inutile indirizzo email. E se il numero è obbligatorio? Avete due scelte: evitare in toto l'iscrizione, oppure usare un secondo numero. Suvvia, non saranno dieci euro il problema e pensate, invece, ai guai che vi evitate!


Passiamo ad un altro argomento di cronaca molto spinoso, quello della compravendita vaccini dark web: sin dall’inizio della pandemia sono state diverse le attività illecite fiorite online. Con l’avvento dei vaccini, è emersa in particolare la possibilità di acquistare privatamente diverse dosi, di tutti i vari marchi a disposizione, cosa al momento infattibile invece da piano vaccinale nazionale. Un giro economico che, nel dark web, si avvale anche della possibilità di acquistare passaporti vaccinali e test di falsa negatività. Quanto c'è di vero in tutto questo? E cosa si può fare per limitare la criminalità sul dark web e arginare fenomeni immorali come questo?

Purtroppo è tutto vero e l'ho visto coi miei occhi. Nel dark web ci sono in vendita tutti i vaccini disponibili e anche i test. "L'affidabilità" nel dark web è un concetto molto blando, perché tutto è talmente anonimo e anonimizzato che non hai sistemi di valutazione da parte di eventuali clienti. E anche ci fossero, non sarebbero certo clienti con dati comprovabili, visto il genere di beni che vengono venduti. Però quei vaccini li ho visti in market "storici" del dark web, quindi immagino sia tutto dannatamente reale. Arginarlo, purtroppo, non è davvero possibile. Mi verrebbe da fare il filosofico e dirti che solo distribuendo la conoscenza, e mettendo a tacere le fake news, potremo arginare il problema, per il semplice motivo che solo così i potenziali clienti potrebbero comprendere quanto sia sbagliato e pericoloso affidarsi a canali di questo tipo.
 
Cyberbullismo: anche in questo caso puoi dare alcune semplici e chiare indicazioni agli utenti su cosa è bene fare per evitare di esserne vittime?

Ne parlavo qualche giorno fa, via Zoom, a una scolaresca e genitori annessi: dialogo, dialogo, dialogo. Tutto parte dagli adulti. Innanzitutto, smettiamola di considerare i ragazzi dei geni. Sono intelligenti e allo stesso tempo sciocchi come lo eravamo noi alla loro età. Se iniziamo a considerarli supereroi creeremo giocoforza un pericoloso distacco tra i loro mondo e il nostro. Non si tratta di capire tutto del loro mondo, ma di dimostrare un minimo interesse e una minima connessione. Posso non sapere come pubblicare un video su TikTok, ma devo sapere cos'è, per sommi capi cosa ci fa un utente dentro e soprattutto se è o meno un posto adatto a un bambino di dieci anni. E poi parlare. Anche io, da piccolo, sono stato vittima di bullismo dei peggiori, ma una volta tornato a casa mi trovavo protetto nel mio guscio e avevo sempre i miei genitori a chiedermi cosa c'era che non andava. Oggi i ragazzi tornano a casa e continuano a essere bersagliati con strumenti digitali, quindi l'unica forma di difesa è e resta proprio quel dialogo. Impariamo a fare gli adulti e metterci di fronte ai bambini, non a mettere davanti a noi i bambini. Dobbiamo essere noi a tagliargli il vento, non il contrario.
 
Un commento sul declino di Immuni, incompiuta e abbandonata

I miei vecchi post Facebook sono a testimoniare che sono stato un suo detrattore storico. Inizialmente per questioni tecniche, perché dovete considerare che inizialmente Immuni era un progetto nemmeno comparabile a quello attuale, poi per la sensazione che fosse la classica banderuola da esporre in mezzo al deserto. Se il principio da seguire è quello delle "tre T", vale a dire Tracing, Testing and Treating, e ne mancano due, il Tracing, da solo, non ha nessuna utilità. E Immuni, in quel momento, è stata lanciata da sola, senza il resto. A quel punto la popolazione ha perso fiducia e proprio ora che forse avrebbe qualche utilità, nessuno la usa più. Nel nostro meraviglioso paese abbiamo dei problemi di sincronizzazione dei processi che i bug di Facebook, a confronto, sono acqua fresca. Ma miglioreremo, ne sono convinto, perché da tutto questo usciremo parecchio arrabbiati e vogliosi di fare.


linkedin