Mi e' capitato di leggere un paper di Saurabh Sharma su Packetstorm dal titolo abbastanza esplicito: Harvesting Phone Numbers Using Facebook And Yahoo.

In pratica Saurabh ha notato che, combinando le informazioni fornite dalle procedure di recupero password di Facebook e Yahoo, e applicando un banale bruteforcing, e' possibile scovare il numero di telefono di un utente.



I presupposti sono semplici: l'utente in questione deve avere un account Facebook ed utilizzare per l'accesso a quest'ultimo una email registrata su Yahoo.

Effettuando infatti una richiesta di recupero password su Facebook, tra le varie opzioni e' presente 'invio di un codice di recupero via SMS, e viene presentato l'MSISDN legato all'account con solo le ultime 4 cifre visibili:


La stessa procedura di recovery effettuata su Yahoo espone invece le prime 5 cifre del numero:


Incrociando questi due dati, scopriamo quasi tutto il numero, mancherebbe solo la sesta cifra, che puo' essere recuperata con un rapido brute force (con un costo massimo di 10 telefonate).

Vi invito a leggere il paper in questione, disponibile QUI.