Os números de celular do Facebook agora podem ser pesquisados no site “Have I Been Pwned”

HIBP vazamentos Facebook

Houve um grande interesse neste incidente, o tráfego do site Have I Been Pwned (HIBP) aumentou drasticamente nos últimos dias, vamos explicar da melhor maneira como foi realizada a abordagem do recurso de pesquisa de número de telefone celular. Ou se você estiver impaciente, pode ir ao HIBP agora mesmo e procurar seu número.

O que mudou?

Troy Hunt, Diretor Regional da Microsoft e criador do HIBP, nunca planejou tornar os números de telefone pesquisáveis ​​e, de fato, essa ideia surgiu no Fórum do site e ficou lá por mais de 5 anos e meio sem ação. A posição de Troy sobre isso era que não fazia sentido por uma série de razões:

  1. Números de celular aparecem com muito menos frequência do que endereços de e-mail
  2. Eles são muito mais difíceis de analisar na maioria dos conjuntos de dados (ou seja, não é possível fazer apenas um regex como com endereços de e-mail)
  3. Muitas das vezes, eles não aderem a um formato consistente em violações e países de origem.

Além disso, quando todo o modus operandi do HIBP é literalmente responder a essa pergunta – Have I Been Pwned? – desde que haja endereços de e-mail que possam ser pesquisados, os números de telefone não agregam muito valor adicional.

Os dados do Facebook mudaram tudo isso. Existem mais de 500 milhões de números de telefone, mas apenas alguns milhões de endereços de e-mail, então> 99% das pessoas estavam recebendo um “erro”nas buscas quando deveriam ter acertado se usassem os números de telefone nas pesquisas.

Os números de telefone eram fáceis de analisar em arquivos (na maioria) bem formatados. Eles também foram todos normalizados em um formato consistente agradável com um código de país. Resumindo, esse conjunto de dados mudou completamente todas as minhas razões, que antes eram para não fazer isso.

E, finalmente, quando Troy questionou a comunidade, as respostas foram “a favor” em vez de “contra” em uma proporção de mais de 2 para 1:

• 67.8% enxergam como um serviço valioso

• 32.2% enxergam como um risco elevado

Have I Been [Alguma coisa]

Outra razão para implementar esse recurso agora é o surgimento repentino de clones HIBP. Troy Hunt usa este termo com carinho e gosta de ver seu projeto inspirar outros, mas também diz ter absolutamente nenhuma ideia de quão confiável qualquer uma das múltiplas variações que já viu aparecer. Portanto, para evitar qualquer sombra de dúvida, gostaria de ter certeza de que se você gostaria de saber se você foi “pwned” nos dados do Facebook, você pode perguntar ao HIBP independentemente de ser um endereço de e-mail ou um número de telefone no qual você possui interesse.

Formato do Número de celular

Os terminais de pesquisa existentes simplesmente identificam que a string que está sendo pesquisada não é um endereço de e-mail e que segue um padrão básico de número de telefone, ou seja, que tem entre 10 e 14 dígitos. Todos os números de telefone são armazenados com o código de chamada de seu país, de modo que os números australianos começam com 61, o Reino Unido com 44, a América do Norte com 1 e assim por diante. E, da mesma forma quando você liga para um número internacional, o 0 inicial é eliminado, então um número australiano que normalmente discaríamos como 0403 … torna-se 61403 …

Não há notificações ou verificações

Neste estágio, você não pode se inscrever para receber uma notificação quando um número de telefone é “pwned” nem existe qualquer conceito de verificar um número para pesquisar violações de informações confidenciais. Isso exigiria a entrega de SMS, o que obviamente tem um custo, mas também uma carga de trabalho que não justifica o investimento no momento.

Os números de telefone de outras violações poderão ser pesquisados?

Não, a menos que haja uma proposta de valor semelhante aos dados do Facebook. Troy não se vê disposto a vasculhar grandes volumes de dados de violações anteriores e analisar números de telefone. Mas se houver uma repetição da situação do Facebook no futuro, ele diz estar bem posicionado para baixar os dados.

Outros Detalhes

Ainda há algumas áreas no site do HIBP que precisam ser atualizadas para refletir o paradigma do número de telefone (ou seja, documentos e perguntas frequentes da API). Foi priorizado tornar os dados pesquisáveis.

Não há implementação de k-anonimato para números de telefone neste momento. Consequentemente, o modelo usado por empresas como Mozilla e 1Password não cobrirá números de telefone do Facebook, apenas endereços de e-mail.

A origem de todos esses dados ainda não está clara. O conjunto inicial recebido seguia um formato muito consistente, o conjunto em circulação mais ampla é mais variado, sugerindo que eles são possivelmente de várias fontes. Algumas pessoas sugeriram WhatsApp ou Instagram como fontes adicionais em potencial, mas não há evidências que comprovem essas afirmações.

O Facebook ainda não divulgou uma posição clara sobre isso. Eles fizeram alusão a um incidente de 2019 como a causa raiz, mas isso não vai longe o suficiente para explicar os dados em circulação. Há um vácuo de informação agora, e esse vácuo está sendo preenchido por muita especulação.

E, finalmente, uma última observação sobre o processo de carregamento de dados: até o momento, todos os números de telefone que começam com os códigos internacionais “4”, “6”, “7” e “8” foram carregados. Os outros códigos estão em andamento e podem demorar algumas horas antes de serem pesquisáveis.

Posts relacionados: Relatório sobre o prejuízo de um vazamento de dados – 2020 / Como proceder em caso de vazamento de dados – dicas para os agentes e titulares de dados pessoais e Os Efeitos da Violação de Dados

Informações obtidas/adaptadas de https://www.troyhunt.com/the-facebook-phone-numbers-are-now-searchable-in-have-i-been-pwned/