In tutto sono 533 milioni, ma se si prendono in considerazione solamente quelli italiani la cifra scende a 36 milioni. O meglio, a 35.677.338 di profili "bucati" da un attacco hacker che ha sottratto diverse informazioni personali agli utenti di tutto il mondo, compresi quelli italiani. Un numero di vittime peraltro molto elevato (praticamente più della metà degli italiani) alle quali sono stati sottratti dati come nome, numero di telefono, email, relazione sentimentale, lavoro e gruppi Facebook. A segnalarlo sul suo profilo Twitter è stato il ricercatore di sicurezza Alon Gal.
La vulnerabilità, già chiusa da Facebook nel 2019, ha portato alla creazione di un database illegale di dati che ora sono in vendita sul web. Con un metodo peraltro piuttosto inquietante: almeno inizialmente, l'hacker aveva predisposto un bot su Telegram che consentiva agli utenti di inviare un numero di telefono e ricevere l'ID del profilo Facebook di un utente in risposta, oppure di inviare l'identificativo dell'account per ricevere il numero di telefono. Il tutto al costo di 20 euro per il singolo dato oppure di 5.000 euro per l'accesso a 10.000 contatti.
Il bot ora è stato bloccato da Telegram, ma la vendita dei dati prosegue in privato: l'hacker ha infatti annunciato di essere al lavoro su un bot privato che possa consentire un processo di vendita simile a quello visto su Telegram. Insomma, come una perfetta piattaforma di ecommerce. Peccato che questa volta in vendita ci siano i nostri dati. Elementi che, vista la tipologia di informazioni sottratte, possono portare a numerosi grattacapi per le vittime. Dal phishing al social engineering, con i dati in possesso dei malintenzionati è più facile ingannare le persone presentandosi come realtà che hanno in mano informazioni personali. Pensiamo, per esempio, a qualcuno che si finge una banca presentandosi indicando questi dati per email.
C'è poi il problema ancora più grande relativo alla password dei propri account che potrebbe essere stata rubata durante uno degli innumerevoli attacchi passati. In questo caso è facile capire in quale database si trova: basta usare uno degli strumenti che permettono di scoprire se un account è stato compromesso (il più famoso è questo) e acquistare il dato. In questo modo un malintenzionato avrebbe accesso anche ai profili social della vittima e persino alla casella email. Il consiglio, quindi, è sempre quello di fare attenzione alle comunicazioni che chiedono dati (anche quelle apparentemente sicure) e di cambiare spesso le proprie password con chiavi lunghe e complesse.