I'm the creeper

Milioni di numeri di telefono Facebook italiani in vendita su Telegram

Più di 500 milioni di numeri di telefono di account Facebook sono in vendita su Telegram. Di questi, circa 35 milioni sono italiani. Come riportato da Motherboard, un hacker ha messo in vendita l’accesso al database dei numeri attraverso un bot Telegram. L’Italia è il secondo paese più colpito dopo l’Egitto: più di 35 milioni di account italiani hanno il numero di telefono allo scoperto. Il costo per verificare il numero di un account è di 20 dollari.

Numeri di telefono in vendita: il bot Telegram

Un database pieno di numeri di telefono di account Facebook in vendita su Telegram: questa la notizia delle ultime ore, che sta scuotendo tutto il mondo. Milioni di account sono stati violati e sono stati resi noti altrettanti numeri di telefono collegati al social network. A scoprirlo è stato il ricercatore Alon Gal, che sostiene che l’attaccante ha ottenuto i dati grazie ad una vulnerabilità di Facebook nota, risalente al 2019.

Nessun attacco diretto questa volta: un utente, del quale ancora non si conosce l’identità, ha creato un bot Telegram col quale vende i dati degli utenti già presenti su internet a causa della vecchia fuga di dati, per soli 20 dollari. Una cifra irrisoria se si pensa a quanto si può ottenere con un numero di telefono. Il bot attinge da un database contenente i dati provenienti dal leak di due anni fa. Esso permette di fare una ricerca in due direzioni: sia cercando il numero di telefono a partire dall’ID di un account, sia risalire all’utente se si possiede il numero di telefono. Alon Gal ha testato il bot e ha confermato che i contatti sono autentici.

Il bot Telegram permette l’accesso al numero di telefono dato l’ID dell’account Facebook. Credits: Alon Gal

Qual è l’impatto?

Facebook è stata avvertita del problema, e l’azienda ha affermato che i contatti ottenibili col bot risalgono tutti a prima del fix del 2019, quindi tutti i dati aggiornati dopo Agosto di quell’anno non sono in pericolo. L’azienda stessa ha effettuato dei test confermando che per i dati più recenti il bot non restituiva risultati. Questo però non minimizza i danni dell’attacco. Pur essendo dati di più di un anno fa, il numero di telefono è un’informazione che non si cambia spesso, perciò nella maggior parte dei casi è ancora valida. Inoltre pochi utenti a suo tempo furono avvisati della violazione, quindi i restanti non hanno potuto prendere provvedimenti utili.

Il bot Telegram sostiene di possedere i dati di più di 500 milioni di utenti da 15 paesi diversi. Tra questi troviamo l’Italia, che si ritrova con quasi 36 milioni di account in pericolo. La cosa grave è che in pericolo non ci sono soltanto gli utenti che hanno condiviso il numero pubblicamente, ma anche chiunque abbia registrato il proprio numero su Facebook per la 2FA o la ricezione di notifiche.

L’elenco dei numeri di telefono associati agli account Facebook. Credits: Alon Gal

La vulnerabilità di Facebook

Nel 2019 Facebook aveva confermato l’esistenza di una vulnerabilità che permetteva agli attaccanti di accedere ai numeri di telefono degli account della piattaforma e di Instagram. Il database usato dal bot di Telegram è stato infatti creato prima che venisse risolta la vulnerabilità; ciò significa che i numeri di telefono sono online da quasi due anni.

Il problema individuato da Facebook riguardava un server non protetto da password dove risiedevano tutti i numeri di telefono. I record rubati consistevano dell’ID univoco dell’account e il numero di telefono. Da queste due informazioni per un attaccante era molto facile scoprire il nome dell’utente collegato. Alcuni di questi record, inoltre, contenevano anche il nome, il sesso e la nazione dell’utente. Facebook ha risolto la vulnerabilità poco tempo dopo la segnalazione, e il server che ospitava i dati è stato chiuso. Questo però non ha impedito l’acquisizione dei dati da parte di vari attaccanti, compreso colui dietro il bot di Telegram.

I record degli account Facebook finiti online. Credits: Tech Crunch

Il rischio principale di questo “incidente” riguarda le chiamate di spam e gli attacchi “SIM swapping”. In questo caso si trasferisce l’identità dell’utente vittima su un’altra SIM, utilizzando il uso numero per vari scopi. Tra questi c’è la possibilità di sfruttare la 2FA per accedere a servizi online e di conseguenza a dati sensibili di vario genere.

Telegram chiuderà il bot, ma il database rimarrà comunque online. Non ci vorrà molto che altri utenti creino nuovi bot, o più semplicemente che si condividano le stesse informazioni su altri canali. Il bot è attivo dal 12 Gennaio: parliamo di due settimane, durante le quali chiunque può aver avuto accesso ai numeri di telefono degli account ad un prezzo davvero basso. Dobbiamo quindi aspettarci che il problema riaffiorerà in futuro.

Published by
Marina Londei