Veřejně dostupná data 533 milionů uživatelů Facebooku jsou důsledek „scrapingu“

V posledních týdnech se v médiích hodně řeší údajný únik dat společnosti Facebook. Databáze, která se objevila na jednom hackerském fóru, obsahuje záznamy 533 milionů uživatelů sociální sítě Facebook a nacházejí se v ní telefonní čísla, ID na Facebooku, jména a pohlaví uživatelů. Společnost Facebook objasnila příčinu, ohradila se přitom proti tomu, že by šlo o únik dat a důsledek hackerského útoku.

Společnost uvádí, že uveřejněné informace nebyly získány hackerským útokem na nezabezpečený systém, ale byly pomocí „scrapingu“ (proces, kdy je za pomocí botů získáván obsah a data z webů) sesbírány z veřejných profilů, a to před zářím 2019.

Ve veřejném prohlášení společnost uvedla, že únik byl způsoben hromadným scrapingem profilů pomocí velkého souboru telefonních čísel spojených s těmito profily, a nikoli hackerským útokem na platformu:

„V důsledku opatření, která jsme podnikli, jsme přesvědčeni, že konkrétní problém, který umožnil v roce 2019 sesbírat tato data, již neexistuje,“ uvedl v prohlášení Mike Clark, ředitel pro řízení produktů společnosti Facebook.

Brzy poté, co se objevily zprávy o údajném úniku údajů, začal incident vyšetřovat regulační orgán EU pro údaje, irská komise pro ochranu údajů (DPC).

Když byly původně zveřejněny podrobnosti o sesbíraných datech, mluvčí Facebooku prohlásil, že se jedná o staré informace a že celá záležitost souvisí s problémem, který společnost již napravila.

Společnost Facebook se domnívá, že aktéři data z facebookových profilů získali zneužitím funkce „Import kontaktů“ již v září 2019.

„Tato funkce byla navržena tak, aby lidem pomohla snadno najít své přátele a spojit se s nimi na našich službách pomocí jejich seznamů kontaktů.“

„Když jsme si v roce 2019 uvědomili, jak někteří tuto funkci zneužívají, provedli jsme změny… abychom zabránili nahrávání velkých sad telefonních čísel,“ uvedli zástupci společnosti. Před provedením těchto změn mohl kdokoliv získat z Facebooku omezenou sadu veřejných dat z uživatelských profilů. Tyto informace však nezahrnovaly platební informace, zdravotní informace ani hesla, upřesnila společnost.

Facebook tedy přisuzuje tento „únik dat“ scrapingu, tedy shromažďování veřejných informací z internetových stránek. V tomto případě útočníci použili slabinu funkce „Import kontaktů“ k hromadnému nahrání soukromých telefonních čísel a následnému spárování přidružených veřejných informací, které nástroj vrátil.

To umožnilo aktérům vytvořit rozsáhlý seznam uživatelů Facebooku, včetně jejich telefonních čísel a veřejně dostupných informací.

Bezpečnostní komunita však není s reakcí Facebooku příliš spokojená. Bezpečnostní expert Troy Hunt, který je také tvůrcem nástroje Have I Been Pwned, vyjádřil svůj názor na tuto záležitost: „Pokud máte účet na Facebooku, je velmi pravděpodobné, že uniklo telefonní číslo, které používáte pro tento účet.“

Alon Gal, CTO z firmy Hudson Rock, která na dostupnost databáze s údaji upozornila mezi prvními, o incidentu mluvil jako o „absolutní nedbalosti“ v oblasti ochrany dat uživatelů.

Uživatelé Facebooku mohou využít nástroje Have I Been Zucked? a Have I Been Pwned a zadáním své e-mailové adresy nebo telefonního čísla používaného pro Facebook zjistit, zda jejich data byla tímto únikem kompromitována. V databází jsou údaje také 1,5 milionu českých uživatelů.

Zdroj: Bleeping Computer

8. 4. 2021