Avrete sicuramente letto la brutta notizia del momento, ovvero la conferma di un data-leak di dati personali da parte di Facebook.

Il database, che contiene 533 milioni di profili, circolava nella comunità di hackers da giugno 2020 ma i dati sembra possano essere stati sottratti nel corso del 2019 grazie ad un problema di sicurezza della procedura per la ricerca di amici Facebook a partire dalla propria rubrica.

Osserviamo quindi che, anche una azienda per la quale i dati sono il core business e che basa i suoi guadagni sulla vendita di pubblicità legata a questi dati e quindi valuta sicuramente quei dati un asset, pur investendo in sicurezza, finisce per perdere i dati non per via di un bug, non per via di un attacco tramite virus e trojan, e nemmeno tramite ingegneria sociale (manipolando quindi dipendenti di Facebook) ma tramite una funzionalità voluta tramite la quale Facebook, probabilmente senza rendersene conto, ha aperto la porta a tali dati perché potessero essere trafugati con estrema facilità.

Come avrete letto il DB contiene prevalentemente il nome e cognome presenti nel profilo facebook e il numero di telefono: i profili con numeri di telefono italiani sono più di 35 milioni mentre "solo" 440.000 di questi profili italiani includono anche un indirizzo email.

Probabilmente, quindi, questo database porterà a nuove ondate di spam e attacchi tramite SMS o chiamate vocali, ma sul fronte email, nonostante 440.000 indirizzi email italiani non siano pochi, non sarà abbastanza appetibile rispetto a database che già oggi si trovano in circolazione.

Il Garante Italiano oggi ha pubblicato una news in cui dice che ha chiesto a Facebook di rendere disponibile uno strumento per verificare se i propri dati siano stati compromessi o meno e nel quale sottolinea che l'uso del database sottratto a Facebook costituisce un trattamento illecito anche se viene fatto per scopi benevoli, come permettere agli utenti di verificare se sono parte del leak: alcuni servizi di verifica nati in queste ore hanno così deciso di chiudere i battenti.

Resta però operativo uno storico servizio HaveIBeenPwned.com, che permette di verificare la presenza di propri indirizzi email, numeri di telefono o password presenti nei più grandi data-breach noti fino ad oggi. Non ci esprimiamo sulla liceità di tale servizio, che stando alle affermazioni del Garante non dovrebbe esistere, ma che viene erogato da un dipendente Microsoft tramite servizi cloud di Microsoft stessa (Azure), ma noi stessi lo utilizziamo e lo troviamo molto utile.