La Top 10 dei recenti attacchi cyber che hanno coinvolto i Social Network: 10 anni di dati regalati alla Silicon Valley (e al Dark Web)

Valutazione attuale: 5 / 5

Stella attivaStella attivaStella attivaStella attivaStella attiva
 

Di Matteo Mauri

Social network, croce e delizia delle nostre attività digitali, una volta gingillo del nostro tempo libero e del nostro gossip online, oggi sempre più crocevia di tante attività lavorative.

Il meccanismo di funzionamento dei Social è cristallino: noi li usiamo gratuitamente inserendo dati e attività quotidiane, loro ci rendono tanti servizi e velocizzano contatti e circolazione di informazione; in cambio ci profilano e ci restituiscono pubblicità mirata. Questa è la parte standard, controllata, un’equità forse utopistica.

Cosa succede però in caso di imprevisti? Quanto sono sicuri i nostri dati sui Social Network?

 

Non abbiamo il dono della sintesi, lo ammettiamo

In questo articolo, prima pillola che approfondisce i nostri CyberSeComics, offriamo una panoramica delle dinamiche incontrollate, elencando i più recenti data breach ai danni dei social network. Senza morale, senza giudizi, senza ramanzine sull’utilizzo dei nostri amati Social. Come potremmo fare la morale considerato che useremo proprio i Social network per proporvi questo articolo?
Lasciamo solamente al lettore la possibilità di fare le sue valutazioni in merito all'invio e alla condivisione dei propri dati online e ricordando solamente quali possano essere le conseguenze dei furti e delle fughe incontrollate di dati in Internet in generale, sottolineando che i Social Network, facendo parte del Far West connesso, non fanno eccezione.

E siccome ogni film Western ha un inizio, uno svolgimento e una fine, presenteremo la nostra top 10 in ordine cronologico.

 

La Top Ten


10

Il nostro viaggio parte da Linkedin, il Social Network dei professionisti. Nel 2012 è la stessa società LinkedIn Corporation ad ammettere, attraverso un comunicato ufficiale, il furto e la divulgazione (in un forum di hacking russo) di 6,5 milioni di hash delle password legate agli utenti. Tuttavia, solo nel 2016 viene rivelata l'intera portata dell'incidente. Gli indirizzi e-mail e le password di circa 165 milioni di utenti LinkedIn venivano venduti per soli 5 bitcoin (circa 2.000 $ all'epoca). Questo episodio si colloca in realtà all’interno di una più ampia manovra che vedeva coinvolta la vendita di dati rubati anche ai siti eHarmony (dating online) e Last.fm (radio online con funzionalità tipiche dei Social Network).

 

9
Nel 2013 è la volta di Twitter, social dei cinguettii dedicato a un pubblico giovane. Un sofisticato attacco compromette gli account di 250000 utenti e la società di San Francisco invita gli utenti a resettare le proprie password.

 

8
Tra i Social Network la concorrenza è spietata, si sa; poteva quindi Facebook mancare all’appello? Siamo ancora nel 2013, la società assiste a una fuga di dati che coinvolge 6 milioni di utenti. Ufficialmente l’episodio è catalogato come pubblicazione accidentale. Il 2013 è un anno in cui si assiste anche ad altri episodi di hacking tosto: ne fanno le spese 4700000 utenti di SnapChat (non propriamente un Social Network ma una chat per giovanissimi dotata di messaggi che si autodistruggono dopo un intervallo di tempo, immaginate il motivo), e oltre 65 Milioni di utenti di Tumblr (social di microblogging con focus particolare sui contenuti multimediali).

 

7
Abbiamo visto quindi come Facebook, in tema di Data Breach, si sia subito adeguato ai fratelli di rete. Quindi pari e patta, mal comune mezzo gaudio.
Lezione imparata? Macché.
Nel 2018 Facebook mette la freccia e la piattaforma fondata da Mark Zuckerberg si vede bersagliata da un incidente che vede coinvolti 50 Milioni di utenti. Ovviamente non lo ripeteremo ogni volta ma la tiritera è sempre la stessa: “ci teniamo alla vostra sicurezza bla bla bla, cambiate password”.
Sfortuna volle che quel “ci teniamo alla vostra sicurezza”, in quel particolare anno fosse anche accompagnato dallo scandalo Cambridge Analytica, non propriamente un data breach, ma un caso di utilizzo improprio di dati dell’utenza in cui il gigante della Silicon Valley non fu esente da responsabilità. In poche parole, la società Cambridge Analytica raccoglieva dati sugli utenti Facebook, sfruttando un sondaggio somministrato tramite un'app che avrebbe dovuto raccogliere informazioni e opinioni a scopo di ricerca ma che in realtà raccolse anche le informazioni personali di milioni di persone, sfruttandole a scopo politico per profilare e indirizzare ipoteticamente le opinioni di voto.
Pluribus One all’epoca rappresentò questo tema con una vignetta sull’evoluzione delle tecniche di persuasione e della propaganda.

 

 

6
Ma torniamo a noi e al nostro percorso, ben consci di aver tralasciato l’anno 2015, che vide Twitch, piattaforma online di video game live streaming, allertare i propri utenti su un potenziale furto di dati dalle dimensioni sconosciute.
Il 2018 vede come protagonisti alcuni Social minori: il termine è improprio, si tratta in realtà di Social poco usati da noi o ormai decaduti. I fatti coinvolsero Google Plus, 500000 utenti bersagliati,  e 500px, oltre 14 milioni di vittime (in un colpo che in totale coinvolse 620 milioni di utenze su diversi siti e piattaforme).

 

5
Avete presente tutte quelle lezioni di marketing in cui vi dicono “prendi 3, paghi uno”?
Ecco, nel 2019 Facebook applica lo stesso principio e posa ben tre mattoni in questa classifica:
- 4 Aprile: 50 Milioni di dati sugli utenti, accidentalmente esposti su un Amazon cloud server;
- 19 Aprile: 1,5 Milioni di email records, esposti non intenzionalmente fin dal 2016;
- 19 Dicembre: 267 Milioni di user ID, nomi e numeri telefonici, giacciono beati in un database non adeguatamente messo in sicurezza.
Aridaje, resettate tutto e amici come prima.

 

4
Il 2019 viene soprattutto ricordato come l’anno di Zynga, tecnicamente società di sviluppo di videogiochi con sede nella solita Silicon Valley, ma che ha ripercussione roboante sui Social Network, perché molti di questi software vengono videogiocati proprio su piattaforme come Facebook e MySpace, da gamer che accedono attraverso i dati di login della piattaforma finale in cui viene visualizzato il gioco.
Risultato? 170 Milioni di giocatori dei videogame “Words with Friends” e “Draw Something” sono pregati di resettare…

 

3
Il 2020 vede l’ingresso, nell’Olimpo dei bucati, di ben 3 nuovi competitor; stavolta il proverbio da adeguare al caso è “3 piccioni con una fava”. Un mastodontico Data Leak mette in allerta 253 Milioni di utenti di Instagram, Youtube e TikTok (quest’ultimo già protagonista di un periodo travagliato per almeno altri due motivi, ma questa è un’altra storia).

 

2
Alla posizione numero due, per cronologia ma anche per clamore, inseriamo l’attacco ai danni di alcuni noti(ssimi) profili Twitter del 15 Luglio 2020. Rapido ed efficace, durò solo due ore: tra le 20:00 e le 22:00 alcuni account con diversi milioni di follower, furono compromessi per promuovere una truffa tramite bitcoin (il denaro inviato, sfruttando la notorietà e la fiducia nei personaggi coinvolti, sarebbe stato restituito con enormi interessi). Tra i big che ne fecero le spese: Donald Trump, Elon Musk, Bill Gates, Barak Obama, Joe Biden, Kayne West.
Almeno la par condicio politica fu garantita.
Curiosità nella curiosità, l’ultimo citato, Kanye West, marito -ancoraperpoco- di Kim Kardashian, fu pure lui protagonista di un tentativo fallimentare di candidatura alla presidenza degli Stati Uniti. A proposito di Social Network: musicista e Social Influencer lui, tra le più seguite influencer del pianeta lei (la moglie), Kayne West ha ottenuto solamente 60000 voti alle urne. Gli influnienter verrebbe da dire.
Davvero gli influencer sono in grado di spostare masse d’opinione?
I Social Network contengono qualche verità o è tutta una giostra di finzioni? Perché se tutto si regge sulla mera fantasia allora, per lo scopo del nostro articolo, i dati “persi” da milioni di utenti negli anni hanno un sapore ancora più amaro.
La bolla speculativa sull’utilizzo dei Social Network ci regalerà sicuramente nuovi scenari. Ne vedremo delle belle.

 

1 (yee!)
Al primo posto della nostra Top 10, concettuale e cronologica, non potevano che comparire i recenti attacchi che hanno ispirato il primo episodio (La Bolletta) della nostra linea di CyberSeComics, vignetta che riportiamo integralmente anche qui sotto, per riprendere poi a commentare l'episodio (disponibile anche in lingua inglese qui: CyberSeComics Ep. #1 - The Electricity Bill).

 

In breve tempo, nel mese di Aprile 2021, viene reso noto al grande pubblico che i dati di 533 Milioni di utenti Facebook e di 500 Milioni di utenti Linkedin, sono stati diffusi o messi in vendita (e alla berlina) sul Dark Web. Un piatto prelibato con nomi, indirizzi e numeri di telefono.
Si tratta di due eventi separati e a fare più scalpore forse è l’inquietante assuefazione al Data breach.

 

Ma chi ci guadagna da questi furti di dati?

In primo luogo chi li sottrae subdolamente ha un guadagno diretto dalla vendita sul Dark Web, dove troverà clienti avidi di informazioni per scopi di profilazione pubblicitaria (e politica come già accaduto), e riutilizzo per pubblicità mirata sui social stessi, via e-mail o attraverso fastidiose campagne di telemarketing.

In secondo luogo i dati così ottenuti sono un’ottima fonte per lo studio delle vittime per campagne mirate di Phishing, Social engineering, Smishing (truffe via cellulare, il termine nasce dalla fusione tra SMS + Phishing). Più dati si conoscono sulla vittima (hobby, interessi, lavoro) più armi si hanno a disposizione per un attacco subdolo e credibile.

Una volta esaurito il potenziale economico dei dati rubati, non è raro che i dati stessi vengano condivisi gratuitamente, così, per solidarietà criminale. Non è raro ma questa non è la regola. Quindi chissà quanti nostri dati sono in circolo in questo momento e chissà quante news tra qualche anno sveleranno che i nostri dati nel 2021 erano già stati messi in vendita sul Dark Web.

Tra vedere e non vedere quindi, senza aspettare le notifiche dei big della Silicon Valley, la password è meglio cambiarla sempre e comunque.

 

Tutti cattivi?

Ricordiamo che nel web non si trovano solamente mascalzoni. Per esempio il sito https://haveibeenpwned.com mette a disposizione uno strumento per verificare se il proprio indirizzo e-mail o il proprio numero di telefono siano stati coinvolti in furti di dati, recenti o più datati.

Dal canto nostro, anche Pluribus One prova a fare la sua parte: anche se non possiamo mettere gli utenti al riparo da attacchi perpetrati attraverso i Social network, abbiamo messo a disposizione uno strumento che può evitare di incontrare indirizzi e domini malevoli in cui si può incappare una volta che magari si clicca su un link contenuto in un’e-mail ingannevole.

Questo strumento si chiama Pluribus One Internet Security, è totalmente gratuito e protegge da Scam, Phishing, Malware; consente inoltre di evitare la pubblicità indesiderata che si trova sulle pagine web o sui video in riproduzione.

 

La lezione

Ricordate quando a inizio articolo dicevamo che non avremmo inserito morale o giudizi di sorta?
Mentivamo. Diffidate sempre da chi vi dice che ha un punto di vista imparziale.
Noi, certamente, abbiamo un punto di vista: da anni ci impegniamo nella protezione di dispositivi e dati con tutti i mezzi, attraverso la produzione di software e anche attraverso la comunicazione e la sensibilizzazione. Perché ci interessa costruire un mondo digitale sicuro.

Quindi cosa possiamo imparare da questo articolo?
Dovremmo per caso evitare di usare i Social Network? Non se ne parla, nessuno di voi sarebbe qui a leggere queste righe senza i Social Network, lo ricordiamo ancora.
Se non sembrasse una beffa l’utilizzo di una parola quasi rinnegata a inizio articolo, diremmo solo che va usato il giudizio. Per evitare la beffa aggiungiamo che ci vuole il buon senso. Ogni volta che forziamo la nostra stessa Privacy e ogni volta che immettiamo un dato o una foto in rete, in un form o in una qualunque piattaforma. Usiamo il giudizio. E il buon senso.
Riportiamo a mente questa top ten. Ricordiamocela la prossima volta che stiamo per premere sui pulsanti “Pubblica”, “Condividi”, “A cosa stai pensando”, “Fallo sapere per primo ai tuoi amici”.

 

 

 

Vuoi provare i DNS sicuri Pluribus One Internet Security®?

Stop a Malware, Phishing e pubblicità indesiderata, anche sui video.

 

É gratuito!

Visita la pagina del servizio o Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo. per ulteriori informazioni.

 

 

Info

Pluribus One S.r.l.

Via Bellini 9, 09128, Cagliari (CA)

info[at]pluribus-one.it

PEC: pluribus-one[at]pec.pluribus-one.it

 

Ragione Sociale

Capitale Sociale: € 10008

Capitale Sociale interamente versato

P.IVA: 03621820921

R.E.A.: Cagliari 285352

 

Università di Cagliari

  Pluribus One è una spin-off

  del Dipartimento di

  Ingegneria Elettrica ed Elettronica

  Università di Cagliari, Italia

 

© 2021 Pluribus One s.r.l. All Rights Reserved.