Olbrzymi wyciek danych z FB

Facebook i powiązane z Markiem Zuckenbergiem firmy nie mają w ostatnim czasie dobrej prasy. Kilka dni temu cegiełkę dołożył do tego wyciek danych jaki miał miejsce w amerykańskim gigancie. Takie sytuacje absolutnie nie powinny mieć miejsca, niemniej co jakiś czas możemy o tym przeczytać. Ten konkretny przypadek jest jednak inny ze względu na olbrzymią skalę. Lecz wszystko po kolei.

O wcześniejszych problemach Facebooka pisaliśmy przy okazji zmiany polityki prywatności na jaką musieliśmy się zgodzić przy okazji korzystania z aplikacji WhatsApp. Wtedy to też bardzo wiele osób postanowiło zmienić komunikator. Najbardziej na popularności zyskały Signal oraz Telegram. Kolejna afera związana z Facebookiem może przyczynić się do ponownego wzrostu ich popularności, ponieważ ochrona danych stała się ważnym tematem w kwestii naszego bezpieczeństwa w sieci.

Czym są dane osobowe?

Nasze dane osobowe to niezwykle cenny zasób wiedzy. Co jest taką daną osobową? Są to wszystkie informacje, które mogą posłużyć do zidentyfikowania osoby, a więc:

  • imię i nazwisko,
  • adres,
  • także adres e-mail w przypadku gdy np. zawiera imię i nazwisko,
  • numery identyfikacyjne (w tym PESEL) itp.

Co ważne – jeśli informacje te występują pojedynczo, to nie muszą być traktowane jak dane osobowe. O co chodzi? Aby wyjaśnić posłużymy się prostym przykładem. Samo imię i nazwisko nie musi być daną osobową ponieważ np. osób nazywających się Jan Kowalski lub Anna Nowak może być wiele. W tym przypadku nie wiemy o kogo konkretnie chodzi i nie możemy zidentyfikować takiej osoby. Lecz jeśli dołożymy do tego informacje o adresie zamieszkania sytuacja się zmienia. Zestawienie takich danych pozwala na określenie kim jest dana osoba, a wtedy takie informacje objęte są ochroną.

Co się stało?

Powracamy do Facebooka. Z serwisu wyciekły dane 533 milionów !! (to nie jest błąd) użytkowników tego portalu, w tym ponad 2,6 miliona Polaków. Oznacza to, że problem ten dotknął ogromnej liczby osób korzystających z Facebooka. Co zawiera wyciek? Takie informacje jak:

  • imię i nazwisko
  • numer telefonu komórkowego
  • adres e-mail
  • płeć
  • stan cywilny
  • zawód
  • miasto

Wszystkie wymienione personalia oczywiście są zgodne z tym co podaliśmy w portalu tworząc swoje konto, dlatego też nie każdy pozyskany wpis musi zawierać wszystkiego. Pocieszającym może być fakt, iż informacje, które wyciekły niekoniecznie są aktualne, ponieważ zostały zebrane przed sierpniem 2019 roku – wtedy to Facebook „załatał dziurę” w zabezpieczeniach. Pomimo tego, że wiedziano już o tym wcześniej, to cała sprawa została nagłośniona niedawno, ponieważ w ubiegły weekend dane te zostały opublikowane na jednym z hakerskich forów, przez anonimowego użytkownika, który zrobił to całkowicie za darmo.

Na szczęście nie pojawiły się żadne informacje, które dotyczą wycieku haseł na nasze konta. Czy możemy sprawdzić czy nasz adres e-mail lub telefon padł ofiarą wycieku? Tak – poprzez skorzystanie z tej strony. Jest ona zarządzana przez analityka bezpieczeństwa Troya Hunta. Umożliwia wpisanie i porównanie adresu e-mail lub numeru telefonu (nowość wprowadzona w związku z opisywanym wyciekiem) z bazą ponad 10 miliardów kont, o których wiadomo, że ich bezpieczeństwo zostało naruszone. Może nasuwać się pytanie czy jest to bezpieczne – w końcu w tym przypadku sami podajemy nasze dane. Strona działa od wielu lat i do tej pory nie miało miejsce zdarzenie, które rzucałoby cień na jej funkcjonowanie. Sam zaś Troy Hunt to osoba ciesząca się w branży dużą renomą oraz zaufaniem. Wielokrotnie też zaznaczał, że prowadzone przez niego narzędzie nie gromadzi żadnych informacji o użytkownikach. My podpowiadamy, a wybór jak zwykle należy do Was.

Co zrobić jeśli doszło do naruszenia i jak się zabezpieczyć?

W danych nie ma ani haseł, ani prywatnych wiadomości. Na wszelki wypadek możemy zmienić hasło do konta e-mail (jeśli nie doszło do naruszenia konta). Najlepiej będzie też ustawić uwierzytelnianie wieloskładnikowe. Pozwoli to na dodanie do logowania dodatkowej warstwy zabezpieczeń. Co powinno zawierać dobre hasło? Otóż najlepiej, aby było silne i składało się ze znaków zawierających:

  • małe i duże litery
  • cyfry
  • znaki specjalne
  • im więcej znaków tym lepiej

Jeśli używamy tego samego hasła do wielu kont (pomimo związanych z tym niebezpieczeństw robi tak niemało osób), to tym bardziej należy pamiętać o zmianie hasła na każdym z kont. Chociaż uważamy, że powinna obowiązywać zasada jedno konto = jedno hasło.

Należy także pamiętać o tym, że o hasło należy dbać. Co przez to rozumieć? Najważniejsze – nie należy go nigdzie udostępniać. Zapisywanie go w publicznie dostępnych miejscach (także w chmurze) nie jest bezpiecznym pomysłem, nie wysyłajmy go także w wiadomości e-mail. Jeśli go nie pamiętamy i korzystamy z funkcji jego przypomnienia, to zapamiętajmy nowe hasło, a otrzymaną wiadomość usuńmy (także z kosza). Uważajmy na wpisywanie adresy HTTPS oraz zwracajmy uwagę na podejrzane maile. Jeśli nie wiemy od kogo otrzymaliśmy daną wiadomość i mamy jakiekolwiek wątpliwości to lepiej jej nie otwierajmy.

Czy są powody do paniki?

Absolutnie nie powinniśmy panikować. Incydent ten warto potraktować w ramach ćwiczeń. Dane, które wyciekły nie pozwolą włamać się na nasze konto. Mogą jednak posłużyć do tworzenia fałszywych kont, udających prawdziwych użytkowników oraz przygotować grunt pod innego rodzaju oszustwa. Dowiedzieliśmy się za to wielu ciekawych statystycznie rzeczy. Najpopularniejszym imieniem w „polskiej bazie” jest Anna, z kolei nazwisko to Nowak (i wcale się temu nie dziwimy). Najwięcej osób jest z Warszawy i żyje w związku małżeńskim oraz prowadzi własną działalność (na drugim miejscu znalazło się sformułowanie „SZLACHTA NIE PRACUJE”).

Tego typu dane mogą być wykorzystane do personalizowania reklam, telemarketingu oraz szeroko pojętego spamu. Istnieje spore ryzyko phishingu – metody oszustwa, w której przestępca podszywa się pod inną osobę lub instytucję w celu wyłudzenia od nas poufnych danych takich jak: dane do logowania, numer karty kredytowej, czy numer pesel. Taka osoba wysyła fałszywe maile w celu zainfekowania naszego komputera szkodliwym oprogramowaniem. Może próbować także nakłaniać nas do określonych działań (tu wachlarz działań zależy zarówno od przestępcy oraz osoby z jaką się skontaktuje).

Niestety takie sytuacje się zdarzają i wraz z rozwojem technologii mogą pojawiać się coraz częściej. Nowoczesność przyniosła ze sobą nowe metody oszustw. Dlatego powinniśmy pamiętać o tym, że nasze konto na portalach społecznościowych może stać się obiektem ataków – i wcale nie musi chodzić personalnie o naszą osobę. Możemy stać się jednym z milionów pozyskanych rekordów. Używajmy mediów społecznościowych z rozwagą i nie publikujmy w nich naszych wrażliwych danych. Uważajmy na to co robimy w sieci i bądźmy czujni otwierając nieznane wiadomości (jakiekolwiek cień podejrzenia powinien skutecznie nad zniechęcić do jej otworzenia). Najskuteczniejszą linią obrony jest nasza rozwaga – a co za tym idzie my sami.