Ze služby Facebook unikla data o více než 500 milionech uživatelů na hackerská fóra – e-maily, telefonní čísla, data narození a další osobní údaje. Mezi postiženými je i milion Čechů. Jste mezi nimi i vy? A jak ochránit svá data?
Na začátku dubna se do světa rozletěla zpráva, která rezonovala snad všemi médii – data o více než 500 milionech uživatelů Facebooku unikla a jsou volně dostupná na hackerských fórech. V návaznosti na to doslova vystřelily titulky, z nichž byste jen velmi těžko pochopili, že se ve skutečnosti úplně nejednalo o hackerský útok, respektive o nabourání systému Facebooku. Facebook k tomu následně dodal své vyjádření a situace se trochu zklidnila, otázkou však je – oprávněně? Informace k útoku Jaká jsou tedy čísla? Zdroje hovoří o tom, že unikly údaje celkem 533 milionů uživatelů Facebooku, a to do srpna roku 2019, než byla daná chyba definitivně opravena. V předmětné databázi, která se šíří na hackerských fórech, jsou tak k mání údaje jako emailové adresy, telefonní čísla, identifikátor uživatelů, jména a příjmení, data narození a další informace. Už zde dlužno dodat, že předmětná data byla mnohdy „veřejně dostupná“ kvůli zabezpečení soukromí profilů jednotlivými uživateli – k tomu však dále. Co se týče rozsahu, dle odhadu Lupa.cz mohlo být unikem zasaženo něco mezi třetinou až polovinou českých uživatelů Facebooku v rozhodné době. iRozhlas doplňuje, že šlo o něco více než milion českých uživatelů. Jak k úniku došlo Ať už to nazveme útokem, či únikem, pravdou je, že za incidentem stojí s trochou nadsázky touha Facebooku rozšířit svoji síť co nejdál a mezi co nejvíce uživatelů. Pamatujete si na články z předchozích dílů Zpravodaje, kde jsme řešili funkci tell-a-friend? V tomto případě šlo prakticky o totéž: funkce spočívala v pomocníkovi pro vyhledávání přátel, kteří mají účet na Facebooku. Pokud jste zadali do vyhledávání telefonní číslo či e-mail svého kamaráda, sociální síť vám umožnila ověřit si, zda kamarád má facebookový účet. Jenže tato funkce, určená lidem, nebyla dostatečně zabezpečena proti zneužívání pomocí automatizovaných systémů a právě tak mělo k úniku pravděpodobně dojít. Představte si, že máte v ruce super mobilní telefon, do nějž nahrajete několik tisíc telefonních čísel – třeba i jen těch, co vás prostě napadnou – a ty postupně zadáváte do vyhledávání na Facebooku. Pokud se číslo spojí s uživatelem, jehož nastavení profilu umožňovalo zobrazení daných informací, problém je na světě. Pak už totiž stačí tyto data stáhnout. Takto nějak daný únik mohl probíhat, a sice že útočníci si nainstalovali emulátor Android zařízení do svého počítače a pomocí něj postupně vytahovali předmětná data. Pravděpodobné je, že předmětná databáze bude složena z několika různých úniků, které probíhaly již od roku 2018. Je to problém? Sám Facebook celou věc relativizuje tím, že se jedná o stará data a že předmětná bezpečnostní díra byla záplatovaná už v roce 2019. Ve spojení s informací, že ve většině případu se jednalo o veřejně dostupné informace z důvodu nastavení viditelnosti jednotlivých uživatelů, se tedy nabízí otázka – znamená to, že na tuto epizodu můžeme zapomenout? Pravděpodobně ne předmětná databáze mnohdy obsahuje e-maily i telefonní čísla, a umožňuje tak návaznou podvodnou činnost či jiná nebezpečná jednání, jako je stalking. Dle informací iRozhlas bylo v předmětné databázi například dva tisíce českých uživatelů, kteří uvádí jako svého zaměstnavatele policii či ministerstva, úřady nebo soudy. Tyto informace pak mohou sloužit i k podvrhování identit či phishingu. Neméně problematický je právě únik telefonních čísel, která mohou být mnohdy využívána pro účely dvoufázové autentifikace. Zde se pak nástroj k zajištění bezpečnosti stává sám nebezpečný, a to kvůli útoku typu SIM swapping. Útočník totiž může díky informacím, které má o subjektu k dispozici, kontaktovat například telefonního operátora a požádat ho o vystavení nové SIM karty. Jakmile ji obdrží, odpadne mu problém s dvoufázovou autentifikací, neboť pokud nějaká služba zasílá SMS kód pro ověření, obdrží jej rovnou útočník (to vše díky nové SIM kartě). Přijde vám to nepravděpodobné? V tom případě si přečtěte, jak o svůj twitterový profil přišel sám CEO Twitteru (například zde). A co když se útočníkovi podaří rovnou nabourat do databáze operátora a všechna důležitá hesla pro správu zákaznického účtu si prostě odnese? Zdá se vám to také nemožné? Tak si přečtěte oznámení společnosti T-Mobile o porušení zabezpečení, které tato společnost vydala právě potom, co došlo k blíže neurčenému počtu SIM swapp podvodů. Co tedy s tím? Obecně první, co bychom měli udělat, je zjistit, zda je možné, že jsme součástí tohoto úniku. Díky službě Have I Been Pwned je to velmi jednoduché – stačí zadat e-mail či telefonní číslo a zjistíme, zda se naše osobní údaje neobjevily v souvislosti s únikem na internetu. Zadat lze i pracovní e-maily zaměstnanců či firemní čísla, popřípadě i pomoci rodinným příslušníkům. Následně zkontrolujeme své nastavení na sociálních sítích – měli bychom co nejvíce omezit přístup mimo okruh přátel (samozřejmě nejbezpečnější nastavení účtu na sociální síti je tento účet smazat a nikdy si jej už nezaložit – to ovšem není úplně praktická rada). To je základní minimum, co můžeme udělat – pochopitelně by bylo lepší, pokud bychom rovnou vyměnili email i telefonní číslo, popřípadě alespoň pro účely dvoufázové autentifikace. V každém případě je dobré zachovat zdravou úroveň obezřetnosti a dát si pozor na to, komu svoje osobní údaje svěřujeme.
Článek vyšel v Elektronickém zpravodaji pro pověřence