Vendita numeri di telefono esfiltrati da WhatsApp venduti online! Quali conseguenze? Come appurare se il nostro numero è stato oggetto di data breach?
Alcuni ricercatori di sicurezza hanno trovato su Breach Forums (un underground market) un database contenente milioni di numeri di cellulare che avevano accesso a WhatsApp. Si tratta probabilmente di un’esfiltrazione a seguito di una nuova falla di sicurezza di questo noto sistema di messaggistica (che presto assumerà la connotazione di social).
E’ ormai noto che su WhatsApp non solo privati, ma anche aziende di qualsivoglia dimensione, si scambiano messaggi con allegati documenti (anche di natura riservata) ed immagini e spesso, l’interscambio non è regolato da alcuna Policy aziendale ma è semplicemente “tollerato” ufficiosamente (sic). Il furto di numeri che riguarda circa 19 milioni di utenti italiani (a cui bisogna aggiungere il numero di utenti di altre nazioni per avere un quadro completo della situazione) è senz’altra una violazione in termini Privacy, un data breach di cui, al momento non conosciamo l’esatta dinamica e quindi non abbiamo certezza che vi sia stata una lacuna/vulnerabilità nei sistemi di sicurezza WhatsApp (non sarebbe la prima) e se sia il frutto di altre azioni ingegnose da parte di hacker.
Quali potrebbero essere le conseguenze in termini privacy e cybersecurity?
La scoperta ha generato un certo scalpore sui media tuttavia, il furto di un numero di telefono è senz’altro meno grave del furto di password! L’impatto più rilevante è la lesione della Privacy di chi vuole tenere il suo numero riservato, tuttavia, non dobbiamo dimenticare che molte persone non fanno mistero del loro numero di telefono e neppure i professionisti (specie se commerciali) che hanno, al contrario, un interesse ad avere visibilità online per essere contattati da potenziali clienti. Niente panico quindi, un numero di telefono nelle mani sbagliate, ma soprattutto, in un contesto di database pubblicato sul darkweb ha conseguenze meno gravi di un furto (magari inconsapevole) di una password. Dobbiamo tuttavia prestare molta attenzione ai tentativi di phishing che potrebbero aumentare e diventare più sofisticati e mirati! Nel Dark Web non esiste il diritto all'oblio. Architetture di rete particolari funzionano con un immagazzinamento “a pezzi”. I file vengono inseriti in un DB distribuito, spezzettati e allocati in più computer (nodi) nella rete, salvati in diverse copie. Non facciamoci quindi illusioni: il numero di telefono “svenduto” nel dark web resterà sempre a disposizione nel dark market place, l’unica speranza è che nessuno lo richiederà più in futuro (perché i numeri di telefono, specie quelli aziendali, possono variare e/o perché ai cybercriminali interesserà meno per qualsivoglia ragione).
Dobbiamo invece allarmarci se, senza aver cambiato operatore e quindi richiesto una nuova SIM, improvvisamente, sul ns. smartphone compare la scritta “nessun segnale”: in questo caso è legittimo sospettare che la nostra scheda sia stata clonata (in gergo tecnico questo fenomeno è denominato “SIM Swap Fraud”). Non è semplice, per un hacker implementare una truffa con clonazione di scheda ma purtroppo, i più abili, ci riescono e, in quest’ultimo caso, il rischio maggiore è un possibile scellerato svuotamento dei nostri conti correnti o servizi finanziari specialmente in quei casi in cui non vi sia una modalità di strong authentication.
Se il nostro numero è in vendita dobbiamo quindi essere maggiormente vigili ed accorti. Ma come appurare se siamo vittime del furto in questione? Ricordo che esiste un virtuoso ed affidabile sistema, che molti di noi già conoscono, creato nel 2013 da Troy Hunt che permette a tutti di verificare le proprie credenziali compreso numeri di telefono: Have I been Pwned
L'uso è semplice ed intuitivo e il risultato è restituito in pochi secondi. Come potrete constatare ora la ricerca è possibile non solo per account o password ma anche per numero di telefono! E non solo: si può usufruire del servizio "Notify me" per ricevere notifiche su eventuali futuri data breach!
Author: Nadia Zabbeo
