Quanto valgono i tuoi dati?

Non passa giorno che non si abbia notizia di una nuova violazione di sistemi con conseguente furto dei dati personali. L'ultima in ordine di tempo riguarda LinkedIn, e poi c'è la faccenda di Facebook...

Facebook

Come tutti ormai saprete, negli scorsi giorni è diventato praticamente di pubblico dominio il dump di un database estratto da Facebook contenente i dati di circa mezzo miliardo (MEZZO MILIARDO!) di account. Di questi, circa 35 milioni sono account italiani. I dati esfiltrati, probabilmente abusando di una funzione legittima delle API di Facebook, contengono tra l’altro: nome, cognome, data e luogo di nascita (se presenti), sesso, luogo di residenza (se impostato), immagine del profilo, email (se presente), e numero di telefono.

L’esfiltrazione di questi dati, come noto, risale probabilmente ad un anno fa, prima che Facebook sistemasse la falla (loro dicono nel 2019), e il dump era inizialmente venduto a caro prezzo negli ambienti criminali e anche tramite un canale Telegram. Poi, qualche giorno fa, qualcuno ha deciso di renderlo disponibile per pochi spiccioli su alcuni forum, e quindi è diventato, di fatto, pubblico.

LinkedIn

Se Facebook e i suoi utenti piangono, di certo quelli di LinkedIn non ridono. Infatti anche il social network dei professionisti (ah ah) ha subito recentemente una esfiltrazione di dati paragonabile a quella della piattaforma di Zucchino Mark Zuckerberg del 2019, tirando fuori i dati di circa 500 milioni (sempre MEZZO MILIARDO!) di account. Anche qui informazioni anagrafiche, email, telefono, ecc. ecc.

Twitter

Sebbene non di recente, anche Twitter in passato ha subito la violazione massiva di decine di milioni di account dei propri utenti, i cui dati sono poi finiti in vendita nel dark web.

Altre violazioni

Oltre ai “big”, anche le piattaforme minori subiscono spesso la violazione dei loro sistemi, a volte per negligenza, altre per incapacità o mancanza di personale sufficientemente qualificato per metterli in sicurezza. Spesso il metodo usato per introdursi abusivamente nei sistemi si avvale della cosiddetta ingegneria sociale, e anche qui il problema è dovuto alla scarsa preparazione di chi maneggia i nostri dati.

Cosa si rischia?

Una delle risposte che si ottengono più di frequente quando si informa qualcuno di queste violazioni è “Vabbè, ma che vuoi che se ne facciano dei miei dati? Io non ho nulla da nascondere…”.

Risposta sbagliata!

La possibilità di accedere a determinate informazioni (classificate come personali e protette da regolamenti piuttosto severi) è preziosissima. Non è un caso se, ogni volta che si cedono i propri dati personali a chicchessia, bisogna dare il consenso esplicito dichiarando di aver letto tutta una serie di informative (lo so, nessuno legge niente).

Incrociando i dati, carpiti abusivamente da diverse fonti (social network, siti di e-commerce, fornitori di servizi), è possibile ottenere dei profili completi che permettono ai malintenzionati di architettare truffe sempre più sofisticate: phishing, accesso ad account e sistemi aziendali (usate la stessa password per la mail di lavoro e per il sito delle ricette di nonna Pina? bravi! :D), sostituzione di persona, intestazione fittizia di beni, attivazione di servizi a pagamento, e così via…

Come ci si protegge?

Ormai la frittata è fatta, e i vostri dati personali ce li hanno cani&porci™, però avete imparato la lezione e volete fare in modo che in futuro i danni derivanti dall’ennesimo databreach siano limitati. Per farlo, potete seguire l’ottima guida di Luca Sambucci e dormire sonni più tranquilli.