Med velikonočnimi prazniki se je na hekerskih forumih pojavila prosto dostopna zbirka podatkov o 533 milijonih uporabnikov družbenega omrežja Facebook iz 106 držav. Največ med njimi, okrog 32 milijonov, jih prihaja iz ZDA, več kot 110.000 pa tudi iz Slovenije. Po merjenju World Population Review je bilo leta 2019 v Sloveniji 910.000 uporabnikov Facebooka. Po tej oceni so objavljene telefonske številke 12 odstotkov njegovih slovenskih uporabnikov.
Kateri podatki so bili javno objavljeni?
Gre za podatke iz leta 2018, ki v vseh primerih vsebujejo ime in priimek uporabnika, telefonsko številko uporabnika in številko profila na omrežju Facebook. Po podatkih, ki jih je danes objavil center za kibernetsko varnost SI-CERT, v 87 odstotkih primerov razkrivajo tudi spol uporabnika, v polovici primerov trenutno bivališče, dodatno pa tudi kraj bivanja, status osebnega razmerja, naslov elektronske pošte ali celo rojstni datum. V 27 odstotkih primerov so hekerji objavili tudi, kje je zaposlen uporabnik, v slabi petini primerov pa status njegovega osebnega razmerja. V dobrih petih odstotkih je bil objavljen tudi rojstni datum. Od nastavitev profila je odvisno, kolikšen del podatkov je bil morda javno dostopen vsem uporabnikom Facebooka.
Kateri politiki so bili žrtve hekerjev?
Na seznamu oseb, katerih podatki so bili objavljeni na forumih, sta vsaj dva ministra aktualne vlade: Matej Tonin (obramba) in Boštjan Koritnik (javna uprava). Neznanci so objavili njuno zasebno telefonsko številko, številko njunega profila na Facebooku in zaposlitev v letu 2018, ko je bil Tonin predsednik državnega zbora, Koritnik pa je delal na Inštitutu za primerjalno pravo. Na seznamu so tudi telefonske številke nekaterih drugih politikov.
Je objava teh podatkov varnostno tvegana?
Po poročanju tujih spletnih portalov in izjavi predstavnice podjetja Facebook gre za podatke, ki so zaradi napake družabnega omrežja omogočali dostop do telefonskih številk. Napako so odpravili avgusta 2019. Da gre za starejši zajem podatkov, so s pregledom potrdili tudi na SI-CERT. Ti podatki se lahko uporabljajo za profiliranje pri oglaševanju in poizkuse spletnih prevar, recimo z lažnimi klici, pri katerih se klicatelj predstavlja kot zaposleni v Microsoftovi podpori. Seznam pa postane problematičen, če ga križaš z drugimi podatkovnimi bazami, recimo s seznamom zaposlenih v policiji in njihovih plač, ki ga je v začetku januarja ukazal objaviti minister za notranje zadeve Aleš Hojs. Po zadnjih podatkih so namreč na seznamu telefonske številke kar 1.200 pripadnikov policije. To zanje pomeni še dodatno varnostno tveganje, še posebej za policiste iz specialnih enot, iz mobilnih kriminalističnih enot, ki izvajajo prikrite preiskovalne ukrepe, in tiste iz centra za varovanje in zaščito, ki varujejo predsednika republike Boruta Pahorja, predsednika vlade Janeza Janšo, ministra Hojsa in druge najvišje predstavnike države. Že njihovo razkritje je pomenilo veliko varnostno tveganje. Gre namreč za podatke, ki so neprecenljivega pomena tako za kriminalne strukture kot tuje obveščevalne službe.
Kako lahko ugotovite, ali so ukradli vaše podatke?
Na tej povezavi -> haveibeenpwned.com vtipkajte telefonsko številko z mednarodno klicno kodo Slovenije. Primer: Če je vaša telefonska številka 040 111-111, potem jo vtipkate kot 38640111111. Vtipkate lahko tudi svoj elektronski naslov. Primer: janez.novak(at)gmail.com.
Koliko slovenskih uporabnikov je v seznamu?
Čeprav se v spletnih objavah navaja, da je med podatki tudi 229.039 uporabnikov iz Slovenije, velja pri tem izključiti imetnike telefonskih številk s Kosova, ki jih uporablja kosovski ponudnik Ipko v večinski lasti Telekoma Slovenije. Po podatkih SI-CERT tako na seznamu ostane 110.177 številk uporabnikov slovenskih telefonskih omrežij.
Kaj bo sledilo?
Irski regulator za varnost podatkov (Facebook je v Evropi uradno registriran v tej državi) je danes sporočil, da preiskuje zadevo in skuša ugotoviti vsa dejstva. Pri tem so poudarili, da "do zdaj niso naleteli na proaktivno komunikacijo s strani Facebooka". Toda dodali so, da jim Facebook zagotavlja, da zadevo obravnava prednostno. To bo verjetno še povečalo pritisk na regulacijo Facebooka in družbenih omrežij. Navsezadnje gre za podatke, ki jih je bilo mogoče pridobiti, preden so leta 2019 začela veljati strožja pravila EU o zaščiti podatkov.
To sicer ni prva afera, povezana z uhajanjem podatkov Facebookovih uporabnikov. Leta 2016 je tako britansko podjetje Cambridge Analytica nepooblaščeno pridobilo podatke več kot 80 milijonov uporabnikov, ki jih je uporabilo za ciljno oglaševanje in politično propagando pred ameriškimi predsedniškimi volitvami.
Na kaj morate paziti v prihodnje?
Če želite relativno varno uporabljati Facebook ali druga družbena omrežja, bodite skrajno previdni pri razkrivanju vaših osebnih podatkov, od rojstnega datuma do fotografij in drugih informacij o vašem zasebnem življenju. Tako se sami najbolj zavarujete, če ti podatki pridejo v tuje roke.
