Certamente, la notizia dell’esposizione dei dati personali di mezzo miliardo di utenti Facebook è un data breach che fa parlare. Ma c’è già chi sminuisce l’accaduto. Insomma, per alcuni la domanda è: quale problema ci dovrebbe essere nella diffusione o nel furto di informazioni collegate ad un profilo, che in gran parte già gli utenti hanno consegnato in pasto al colosso dei social e al suo pubblico?
Questo significa non aver compreso, neanche a fronte di una violazione di sicurezza così rilevante e di impatto globale, l’importanza delle tutele cui provvede la protezione dei dati personali e i rischi relativi alla sicurezza delle informazioni. E così, il tentativo di sminuire la portata del data breach rappresenta un fallimento culturale ancor prima che di cognizione giuridica, a prescindere dai rilievi e dalle considerazioni delle autorità di controllo.
È importante considerare che il numero di telefono o l’e-mail di registrazione, sebbene non siano dati la cui natura comporta un rischio intrinseco elevato, hanno un’elevata capacità identificativa e sono già associati alle ulteriori informazioni contenute nei profili utente. Il che espone già ad un rischio significativo di furto d’identità.
Inoltre, tali profili potrebbero, ad esempio, essere illecitamente impiegati per perpetrare frodi nei confronti di altre persone, ad esempio attraverso un falso profilo aperto su un diverso social network. Il riscontro di un profilo analogo (ad esempio: per informazioni e foto) su Facebook non farebbe sorgere sospetti alla potenziale vittima rendendola un più facile bersaglio delle azioni del cybercriminale.
Ulteriori profili di rischio consistente per gli interessati derivano dall’impiego fraudolento dei dati di contatto, per renderli bersagli di campagne di phishing generiche o, in seguito ad una clusterizzazione dei profili, ben più specifiche e potenzialmente pericolose.
Gli attacchi informatici seguono infatti uno schema tipico, ricondotto agli scenari della Cyber Kill Chain, in cui la prima fase consiste nell’acquisizione di informazioni per individuare vulnerabilità. In questo caso, il dataset informativo è già in possesso del cybercriminale, grazie alle informazioni contenute nei profili e il contatto impiegabile per veicolare il proprio attacco. Inoltre, la possibilità di collegare ulteriori database esfiltrati e disponibili sul dark web, o le preferenze desumibili da taluni servizi collegati all’account (quanti utilizzano infatti l’accesso a Facebook per iscriversi ad alcune app?), non potrà che aumentare l’efficacia delle campagne d’attacco basate sull’ingegneria sociale.
Gli scenari di rischio sono consistenti, effettivi e tutt’altro che da ignorare.
Ciascuno dovrà valutare, con una vera e propria analisi di coscienza digitale, quali informazioni possano essere desunte dal proprio account potenzialmente violato. E di conseguenza, provvedere all’adozione di contromisure prudenziali.
