Początkowo, po wycieku danych z 533 milionów kont facebookowych, większość skupiła się na ciekawej informacji, która wyszła w ujawnionych danych. Okazało się, że szef platformy, Mark Zuckerberg, używa konkurencyjnego wobec narzędzi fejsowych komunikatora Signal. To znamienne i zabawne. Osładza nieco użytkownikom świadomość, że ich dane są tak słabo chronione.
Osładza jednak tylko trochę, bo kolejny wyciek powinien każdemu w sposób dojmujący uświadomić, że przekazywanie czemuś takiemu jak Facebook swoich prywatnych, albo może mniej prywatnych, ale wciąż ważnych, danych, jest szaleństwem. Nawet jeśli nie wyciekną, to Facebook je sprzeda na sposoby, o których nie mamy pojęcia, bo taki jest jego model biznesowy. Opiera się on na handlowaniu naszymi danymi, czyli, w pewnym sensie, nami samymi.
Warto może wspomnieć, że wyciek z początku kwietnia nie był rzeczą nową, lecz niejako kontynuacja starszego wycieku. Facebook sam podaje, że dane, które teraz wypłynęły, zostały pozyskane wcześniej dzięki luce, która została załatana w sierpniu 2019 roku. Porcje tych danych pojawiły się już w sprzedaży w styczniu 2021 roku. Ale danie główne podano na talerzu dopiero w ostatnich tygodniach. Według raportu opublikowanego przez „Business Insider”, do sieci wyciekły dane osobowe ponad pół miliarda użytkowników Facebooka ze 106 krajów. W tym ponad 32 mln rekordów dotyczących użytkowników z USA, 11,5 mln z Wielkiej Brytanii i 6 mln z Indii.
Skrobanie po stronach internetowych
Prywatne informacje użytkowników zostały uzyskane przez hakerów głownie drogą wykorzystania funkcji importera kontaktów na Facebooku, która pozwala użytkownikom na znalezienie znajomych w mediach społecznościowych przy użyciu listy kontaktów w telefonie. Złodzieje danych wykorzystali lukę w tym mechanizmie, aby uzyskać dostęp do identyfikatorów użytkowników, adresów, numerów telefonu, adresów e-mail, nazw miejsc pracy, dat urodzenia, dat utworzenia konta i innych danych osobowych umożliwiających identyfikację. Następnie dane te wyciekły do dark webu.
Facebook twierdzi, że hakerzy uzyskali dane użytkowników poprzez data scraping, technikę używaną do importowania danych ze strony internetowej do lokalnego pliku w komputerze. Gigant społecznościowy zauważył również w poście na blogu, że „konkretny problem, który pozwolił im [hakerom] na wyskrobanie tych danych w 2019 roku już nie istnieje”. Czyli, że Facebook lukę już naprawił. Tę lukę, bo inne słabe punkty, o których nie wie, z oczywistych względów nie mogą być naprawione.
Wiele firm, nie tylko Facebook, ale również Google, Twitter, i inne, udostępnia swoje interfejsy API programistom. Mają w tym swoje cele biznesowe. Korzystają z nich jednak nie tylko uczciwi programiści, ale również grupy cyber-przestępcze, choćby do wspomnianego masowego pobierania danych ze stron internetowych, czyli wspomnianego data scrapingu. Mogą uzyskać imię i nazwisko oraz adres e-mail danego użytkownika z jednej strony internetowej za pośrednictwem API, API drugiej strony internetowej może dostarczyć im numeru telefonu i adresu zamieszkania, a trzecia strona może otworzyć im drzwi do bardziej wrażliwych informacji na temat tego samego użytkownika. Hakerzy łączą te wszystkie dane i tworzą kompletny zestaw danych, który jest następnie sprzedawany online.
Facebook nie jest ani pierwszym atakowanym w ten sposób serwisem, ani nie dzieje się to na jego platformie w jakikolwiek wyjątkowy, różny od innych serwisów sposób. Można przypomnieć np. podobny głośny przypadek wycieku danych 500 milionów użytkowników platformy społecznościowej LinkedIn, które potem były sprzedawane online przez nieznanego hakera, który wcześniej opublikował dane dwóch milionów użytkowników jako próbkę i dowód posiadania danych. W przypadku LinkedIn, twierdzono, że dane zostały wyskrobane, innymi słowy, ktoś naruszył warunki korzystania z usługi, aby wyciągać dane z publicznych profili, łącząc je z danymi z innych stron. Informacje, które wtedy wyciekły, są pod wieloma względami podobne do tych, które wyciekły z Facebooka, ale zawierają sporo danych dotyczących aktywności zawodowej i biznesowej.
Zestaw do pracy dla oszusta
W sumie, wyciek z Facebooka ogłoszony na początku kwietnia zawierał, według opublikowanych szczegółowych raportów, 2 837 793 637 pozycji z danymi. Oznacza to, że hakerzy ujawnili pięć typów danych w przeliczeniu na przeciętnego użytkownika. „Suma ta zawiera numery telefonów, identyfikatory na Facebooku, pełne nazwiska, lokalizacje, daty urodzenia, biogramy i, w niektórych przypadkach, adresy e-mail,” podał Vytautas Kaziukonis, szef zajmującej się bezpieczeństwem sieciowym firmy Surfshark, która była jednym ze źródeł informacji o wycieku.
Jeśli chodzi o prawdziwie wrażliwe dane, to wyciek zawierał w 90 proc. numery telefonów użytkowników, w 60 procentach – lokalizację, w ok. 18 procentach – informacje o pracodawcy. Status związku ujawniony był w jedynie w 15 proc. danych. Emaile użytkowników wyciekły w niewielkim stopniu, bo w niecałych pięciu procentach. 2 669 381 informacji należało do polskich użytkowników portalu. W Polsce 0,81 proc. profili miało ujawnione adresy e-mail, a 100 proc. – numery telefonów lub identyfikatory z Facebooka, 51,43 proc. rodaków miało ujawnioną lokalizację, a 24,23 proc. status związku. Internauci chcący dowiedzieć się, czy ich dane wyciekły i są narażone na szwank, mogą odwiedzić stronę HaveiBeenPwned.com. Wszystko, co muszą zrobić, to wpisać swój np. adres e-mail i sprawdzić.
Zdaniem analityków najgroźniejszą potencjalną konsekwencją wycieku dla użytkowników nim dotkniętych jest ogromna liczba numerów telefonów możliwych do pozyskania w celu uruchomienia oszustw typu phishing SMS na wielką skalę oraz ataków spamowych opartych na SMS-ach. Tak uważa m. in. twórca HaveiBeenPwned.com i ekspert ds. bezpieczeństwa sieci Troy Hunt. Wprawdzie użytkownicy stają coraz bardziej wrażliwi i odporni na próby wyłudzeń tym sposobem, to jednak można założyć, że działa tu prawo wielkich liczb. Jeśli pozyskujesz ok. pół miliarda numerów telefonów, to zapewne pewna część ich właścicieli da się nabrać na oszustwo. Skuteczność ataku oszustów zwiększyć mogą dane skombinowane. Jeśli oprócz numeru telefonu phisher ma informacje o lokalizacji i zatrudnieniu potencjalnej ofiary, to ma większą możliwość skutecznego działania.
Wyobraźmy sobie scenariusz, w którym złodziej udaje, że dzwoni z banku, wykorzystując zdjęcia lub dane o lokalizacji z konta w mediach społecznościowych, aby uzyskać cenne informacje o koncie. Dzwoni i mówi: „Tu twój bank X. Zauważyliśmy, że byłeś w Pizza Hut w ostatni czwartek…”. Wiarygodność dzwoniącego wzrasta. Grunt pod dalsze działania oszusta jest przygotowany.
Skradzione informacje mogą zostać wykorzystane również do wysyłania spamu i do kierowania reklam. Można je wykorzystać do planowania i realizacji różnorodnych scenariuszy oszustw internetowych. Hakerzy mogą podszywać się pod użytkowników i przelewać gotówkę w ich imieniu, bez ich wiedzy. Dane z Facebooka skombinowane w innymi informacjami dają ludziom o złych zamiarach, sprytnym i doświadczonym oszustom, wielkie pole do popisu.
Baza danych z Facebooka jest dostępna w sieci dark web i każdy może ją przeszukiwać. Przedstawiciele firmy Hudson Rock, zajmującej się wywiadem cybernetycznym, na początku stycznia potwierdzili, że dane te są obecnie przedmiotem handlu, który toczy się na opartym na chmurze komunikatorze internetowym Telegram. Ostatnio zestaw tych danych wydaje się również pojawiać na różnych forach hakerskich w całym Internecie.
Jak się chronić
Biorąc pod uwagę charakter wycieku, użytkownicy nie mogli właściwie nic zrobić aby się przed nim zabezpieczyć. Ponieważ atak był skierowany na systemy Facebooka, odpowiedzialność za zabezpieczenie danych leży całkowicie po stronie Facebooka.
To jedna strona medalu. Druga jest taka, że hakerzy nie mogą „wyskrobać” z Facebooka informacji, których tam nie zamieścimy, nie udostępnimy innym przedstawicielom społeczności. Są oczywiście tacy „spryciarze”, którzy a jakże wiedzą, że nie należy podawać na Facebooku np. prawdziwej daty urodzenia, więc wpisują fałszywą, a potem… świętują urodziny na Facebooku w prawdziwy dzień urodzin. Nie podajesz lokalizacji? Co z tego, jak z twoich zdjęć wynika co najmniej miejscowość, w której mieszkasz, jeśli nie dzielnica lub nawet ulica. Itd.
Od lata wiadomo, że należy unikać używania Facebooka do logowania się na innych stronach internetowych. Jeśli twoje konto na Facebooku zostanie przejęte, atakujący będzie miał automatyczny dostęp do wszystkich powiązanych z nim stron i aplikacji. Pomijam już fakt, że na talerzu podaje to stargetowanego użytkownika. Łakomy kąsek do handlu z reklamodawcami spamerami.
Chciałbym podać przykład swojego własnego konta na Facebooku jako dobrze zabezpieczonego. Nie udostępniam tam żadnych danych osobistych, związanych z rodziną, miejscem zamieszkania. To profil niejako „zawodowy”, podobnie jak numer telefonu czy email. Są to rzeczy związane z moją działalnością, więc z natury nie są tak bardzo ściśle chronione. Nie udostępniam na Facebooku nic na tematy osobisto-prywatne. W ogóle udostępniam coraz mniej. Czy jednak mogę się w obliczu takiego wycieku czuć bezpiecznie? Nie sądzę.
Jest też taka możliwość, by w ogóle porzucić Facebooka i zaprzestać mu podawać siebie na talerzu, ale tego rozumiem, nikt nie bierze pod uwagę. Sam, prawdę mówiąc, na razie nie biorę, na razie.
Cały czas gdzieś tam z tyłu głowy kołacze mi myśl, że dla Facebooka ten ostatni wyciek i inne wycieki danych, to nieszczęście, ale z innych powodów niż naiwnym mogłoby się wydawać. Jemu nie jest przykro z powodu przykrości, która spotkała jego użytkowników. O nie. Facebook nie lubi tego, bo oznacza to straty, bo ktoś inny zahandluje danymi, którymi handlować chce tylko on. I ktoś inny zarobi te pieniądze, które na sprzedawaniu informacji o nas mógłby zarobić wyłącznie Facebook.
Mirosław Usidus
