I social media ci connettono e intrattengono costantemente e non sono mai stati così importanti per la vita di tutti i giorni come durante la pandemia. Eppure, i giganti tecnologici dietro a queste amate community online hanno dimostrato che nessuno è immune agli attacchi: ogni piattaforma ha subito consistenti violazioni di dati che hanno portato all’esposizione online di enormi quantità di informazioni sensibili degli utenti, talvolta anche molto personali. Una volta raccolti questi dati vagano nel Dark Web, in attesa che hacker e truffatori li sfruttino per compiere crimini come il cracking delle password, il credential stuffing e tentativi di phishing.
Di recente non sono mancati esempi di violazioni dei dati personali sui social media:
- L’app di messaggistica Clubhouse ha rivelato che un database da 1,3 milioni di record di suoi utenti è stato violato su un popolare forum di hacker. Le informazioni contenevano dettagli quali ID utente, nomi, URL di foto e nomi utente di Twitter e Instagram.
- Su Linkedin sono stati estratti dati da 500 milioni di account: in questo modo sono diventati visibili il nome completo, l’indirizzo email, il numero di telefono, il genere e altre informazioni degli utenti di LinkedIn.
- Lo scandalo Cambridge Analytica di Facebook è forse il più noto di tutti: nel 2015, una società di consulenza politica ha acquisito i dati personali di decine di milioni di utenti di Facebook, originariamente raccolti da una terza parte. I dati sono stati utilizzati per promuovere la Brexit nel Regno Unito e potrebbero anche aver contribuito al successo della campagna di Trump nel 2016. Inoltre, i numeri di telefono e gli indirizzi email di 533 milioni di utenti Facebook sono stati esposti in una seconda violazione dei dati su larga scala.
Ogni volta che utilizza i social media, l’utente confida che queste piattaforme tutelino le informazioni e i dati personali ma i problemi relativi ai dati che si sono verificati nel corso degli anni (password non crittografate, informazioni private trapelate, concessione a terzi dell’accesso a enormi quantità di dati utente, ecc.) dimostrano che la questione è ben più complessa.
E spesso in caso di violazione le risposte ufficiali non sono particolarmente risolutive, come ad esempio nel caso di Clubhouse che ha ufficialmente negato di aver subito violazioni o hackeraggi e
ha minimizzato l’incidente affermando che i dati rubati erano già disponibili pubblicamente tramite l’app. Certo, se fossero state rubate informazioni più sensibili come password o indirizzi email il danno sarebbe stato maggiore. Tuttavia, le informazioni acquisite possono comunque essere utilizzate per colpire gli utenti di Clubhouse tramite phishing o altri attacchi di social engineering.
La situazione non è delle migliori neppure sul fronte Facebook dove la risposta alle tonnellate di informazioni trapelate di recente è che si tratta di notizie vecchie. La violazione deriva da un problema risalente al 2019, poi risolto. Sebbene questi dati non siano aggiornati, potrebbero comunque risultare utili ad hacker e criminali informatici che tentano di compiere furti di identità. A quanto pare né Facebook né Linkedin si sono assunti l’onere di informare gli utenti se tra i dati violati ci siano anche i propri, ma per verificarlo in prima persona è possibile affidarsi ad un tool online: Have I been pwned.com
A dispetto delle violazioni i social media restano un’abitudine quotidiana
Nonostante le continue notizie relative alle violazioni dei dati sui social media l’utilizzo di queste piattaforme è in aumento*.
Complice anche la pandemia, la navigazione sui social è sempre più una costante del quotidiano e spesso sono proprio gli utenti a mettere a rischio i dati sensibili condividendo troppe informazioni sul proprio conto.
Il prezzo della condivisione eccessiva
Le piattaforme di social media non proteggono adeguatamente i dati personali da eventuali vulnerabilità ma anche gli utenti contribuiscono alla scarsa sicurezza.
Stando alle statistiche elaborate da Tessian, una società che si occupa di sicurezza legata al fattore umano, l′84% delle persone pubblica informazioni sui propri account social ogni settimana. Il 42% pubblica ogni giorno, fornendo informazioni di cui gli hacker hanno bisogno per lanciare con successo attacchi di social engineering o account takeover. Il 50% condivide i nomi e le foto dei propri figli e quasi 3/4 rendono nota la data di nascita. Il 55% degli intervistati ammette di avere profili pubblici e in questo modo i dati personali sono ancora più a rischio.
I social media sono inevitabilmente un’arma a doppio taglio: consentono di connettersi con gli altri ma al tempo stesso offrono agli hacker numerose opportunità per mettere a segno nuove strategie di attacco.
Alcuni semplici consigli di Avira per tenere al sicuro l’identità digitale
La mission di Avira è sempre stata quella di proteggere le persone nel mondo connesso. Travis Witteveen, CEO di Avira, commenta: “Vogliamo che le persone vivano online senza la preoccupazione e la paura di mettere a rischio la loro privacy. Aspettare che le piattaforme di social media risolvano i problemi di sicurezza non ci metterà al sicuro, ma è importante agire in prima persona. Iniziamo da un’adeguata educazione digitale, sfruttiamo le tecnologie di sicurezza affidabili che abbiamo a disposizione e gestiamo i controlli delle policy in modo più efficace”.
Ecco alcuni semplici consigli da mettere in pratica giorno per giorno:
- Attenzione al Dark Web. Alcune app, come tutti i password manager di qualità, invieranno una notifica se le credenziali verranno compromesse, consentendo all’utente di cambiare rapidamente le password nel tentativo di prevenire il più possibile i danni.
- Assicurarsi di disporre di un adeguato livello di sicurezza delle informazioni personali. È buona norma utilizzare una VPN poiché in questo modo ogni connessione del dispositivo sarà crittografata. Inoltre, impostare l’autenticazione a due fattori per accedere agli account fa sì che anche se una password viene rubata gli hacker non possono comunque accedervi. Resta di fondamentale importanza impostare una password diversa per ciascun account.
- Controllare sempre le autorizzazioni in fase di installazione di un’app. Molte funzionano anche senza tutte le autorizzazioni richieste di default.
- Ricontrollare le impostazioni della privacy di tutti i profili social
- Cambiare regolarmente le password di tutti gli account
- Prendere in considerazione la possibilità di eliminare le app e utilizzare al loro posto il browser per scorrere i contenuti. Le app possono spiare il traffico e le altre applicazioni in uso sul device.
- Valutare l’uso di ecosistemi (hardware + software) che offrono protezione anziché raccogliere le informazioni personali. La nuova e innovativa funzione App Tracking Transparency (ATT) di Apple richiede agli inserzionisti di chiedere l’autorizzazione esplicita quando desiderano monitorare il comportamento di un utente.
La tutela delle informazioni personali resta un argomento complesso, ma fino a quando non verranno proposte norme più severe per la protezione dei dati sensibili diventa fondamentale acquisire un’adeguata educazione digitale e avvalersi di soluzioni in grado di proteggere la vita online a 360°.