Un bot di Telegram ha rubato nomi e numeri dei seguaci di ogni pagina Facebook

Nei giorni scorsi è trapelato online un archivio composto dai dati di più di 500 milioni di utenti Facebook: nomi, congomi, numeri di telefono e altre informazioni sottratte al social sono state pubblicate gratuitamente mettendo in pericolo la privacy dei proprietari. Nonostante lo scalpore suscitato dalla vicenda, sembra però che l'archivio da mezzo miliardo di voci non sia l'unico liberamente accessibile su Internet: secondo quanto riportato da Motherboard, attraverso un bot su Telegram è possibile ottenere anche altri numeri di telefono di utenti Facebook — diversi da quelli già colpiti dai fatti degli scorsi giorni — dividendoli per un criterio molto particolare e pericoloso: i like che hanno messo alle pagine sul social.

Come funziona il bot

A differenza di quanto avvenuto a inizio aprile, i dati non sembrano essere stati pubblicati gratuitamente, ma sono disponibili a pagamento. Nonostante questo, il bot di Telegram messo alla prova da Motherboard funziona in modo molto semplice. Chi è interessato inizia una conversazione con il comando start, dopodiché deve solo inserire il codice identificativo della pagina Facebook della quale desidera ottenere la lista dei fan. Il bot prepara diligentemente il documento e lo mette a disposizione: se la pagina ha meno di 100 seguaci, il file si può scaricare gratuitamente; altrimenti, il bot chiede il pagamento di una cifra sull'ordine delle poche centinaia di dollari.

Dati diversi da quelli già online

Stando a quanto verificato da Motherboard, la banca dati dalla quale attinge il bot non è completa al 100 percento; si basa su dati incompleti e non aggiornati agli ultimi mesi. Quel che è importante però è che i numeri contenuti sono autentici, e contemporaneamente non fanno parte di quelli già trapelati in precedenza: una serie di telefonate di prova e una ricerca veloce sul sito HaveIbeenPwnd hanno provato sia l'autenticità della banca dati che l'assenza di corrispondenze con quella da mezzo miliardo di voci già finita online.

All'interno dei documenti sono compresi nomi e cognomi, numeri di telefono e genere, ma l'aspetto più preoccupante è proprio il fatto che i numeri si possano ottenere partendo dal criterio delle pagine seguite. In questo modo, truffatori e altri cybercriminali possono ottenere comodamente liste di persone da raggirare con tecniche specifiche — facendo leva non solo sulla conoscenza pregressa di nome e cognome delle vittime, ma anche delle loro passioni: dagli animali agli investimenti in banca.

Come proteggersi

Il fatto che i numeri delle persone colpite non siano ancora presenti su HaveIbeenPwnd rende difficile sapere se si è stati coinvolti nella nuova fuga di dati. Il consiglio per proteggersi da eventuali truffe è quello di rimanere diffidenti nei confronti di chiamate telefoniche non sollecitate, anche se l'interlocutore sembra sapere nome e cognome della persona chiamata.