Facebook, i dati di 533 milioni di utenti finiscono gratuitamente sul web


I numeri di telefono e altre informazioni personali di 533 milioni di utenti Facebook sono state diffuse gratuitamente su un popolare forum di hacker. L’Italia risulta la terza nazione più colpita con oltre 35 milioni di utenze coinvolte.

I dati in questione hanno iniziato a fare capolino nella comunità di hacker nel giugno scorso, quando un membro iniziò a venderli ad altri membri. Le informazioni possono includere, oltre al numero di telefono, anche: Facebook ID, nome, sesso, posizione, status sentimentale, occupazione, data di nascita e indirizzi email. Nel pacchetto risultano presenti anche i numeri di telefono (non più attivi, probabilmente) di Mark Zuckerberg, Chris Hughes e Dustin Moskovitz, tra i fondatori del social.

Secondo il sito BleepingComputer, a quasi tutte le utenze sono associati un numero di telefono, un Facebook ID, il nome e il sesso. Il pacchetto è stato trafugato nel 2019, come confermato anche da Facebook, sfruttando una vulnerabilità ora risolta nella funzione “Aggiungi un amico”.

Non è noto se questa presunta vulnerabilità abbia consentito agli attaccanti di recuperare tutte le informazioni diffuse o solo il numero di telefono, per poi combinarlo con i dati ottenibili dai profili pubblici. La certezza è che dopo l’iniziale vendita, si pensa per 30mila dollari, un altro malintenzionato aveva creato nel gennaio di quest’anno (ne parlammo qui) un bot Telegram privato che consentiva ad altri hacker interessati di pagare per accedere ai dati raccolti.

La novità è che questo pacchetto di dati è oggi stato diffuso gratuitamente per ottenere otto crediti sul forum, per un controvalore di 2,19 dollari. L’obiettivo è chiaramente quello di guadagnare notorietà, ovviamente solo dopo essersi riempiti le tasche. Benché i dati siano vecchi di almeno due anni, molte persone non cambiano l’email o il numero di telefono per tantissimo tempo, quindi tante informazioni potrebbero risultare valide per condurre attacchi mirati.

Gli indirizzi email possono risultare utili per attacchi di phishing, mentre i numeri telefono per il cosiddetto smishing (phishing via SMS), ma anche per imbastire attacchi SIM swap per sottrarre i codici dell’autenticazione a due fattori inviati tramite SMS.





Source link