Předplatné časopisu
Finmag do schránkyPředplatit časopis

Změňte heslo, prodejte akcie. Facebook možná pustil i vaše data

Dominik Stroukal
Dominik Stroukal | 8. 4. 2021 | 1 komentář | 4 457
bezpečnostfacebookmark zuckerbergosobní údajesociální sítě

Je to masivní únik. Zveřejněno bylo neuvěřitelných 533 milionů telefonních čísel. Data mohla unikat v letech 2017 a 2018, načež Facebook chybu rychle opravil. Jenže pozdě. Pojďte s námi zjistit, zda se týká i vás.

Změňte heslo, prodejte akcie. Facebook možná pustil i vaše data

Zdroj: klevo / Shutterstock.com

Že z Facebooku unikla data, už pravděpodobně víte. Ale znáte někoho, kdo je viděl? My ano.

Před pár dny se databáze objevila na internetu. Někdo nad tím ironicky mávnul rukou, jiní se úniku databáze naopak děsí. Ale nechoďme kolem horké kaše a podívejme se dovnitř.

Co v uniklé databázi ve skutečnosti je? A co může únik dat znamenat konkrétně pro vás?

​Hezky přehledně

Hacker, který data z celého světa získal, je seřadil podle předvoleb telefonního čísla. A pak on či někdo z jeho kolegů vše s českou předvolbou +420 dál seřadil od prvního čísla začínajícího 601 a nazval Czech Republic.txt. Soubor má 144 MB a přehledný formát, aby se data dala snadno prohnat databází. Kdybyste to udělali, získáte celkem 1 375 988 českých telefonních čísel. Ke každému pak náleží základní informace, které o sobě daný člověk řekl.

What the... aneb Jak se tohle stalo?!

Opice
Shutterstock

Facebook měl před několika lety chybu ve vyhledávači kontaktů, která umožnila zobrazit jinak skryté telefonní číslo. Souvisela se schopností sociální sítě vyhledávat kontakty dle čísel ve vašem tefonním seznamu. Když se tedy chytře zadalo jedno číslo po druhém, dalo se zjistit, kdo se pod ním skrývá. K tomu se pak vytahaly všechny veřejně známé informace a seznam byl na světě.

Facebook se zaklíná tím, že je to starý únik a data jsou už stará. Chybu skutečně v roce 2019 odstranil, ale zjevně pozdě. Navíc, kolik z vás si některý z údajů od té doby změnilo? Máte jiné telefonní číslo či jméno? Založili jste si úplně nový účet na Facebooku pod jiným identifikačním číslem? Pokud ne, je pro vás úplně irelevantní, že je útok staršího data.

Chyby podobného charakteru se přitom zkrátka dějí, třeba server Spolužáci.cz mi kdysi umožnil jako správci třídy vidět pod hvězdičkami skutečná hesla všech spolužáků. A sám Facebook jeden čas umožnil na krátkou dobu vidět, kdo spravoval jednotlivé stránky. Tehdy se v plné nahotě ukázalo, kdo píše za různé dezinformační servery a podobně. Jenže tehdy to nemělo takový dopad na každého z nás.

Takový typický záznam vypadá nějak takhle:

420601123456 : 1234567890 : Jmeno : Prijmeni : Pohlavi : Bydliste : MistoNarozeni : Vztah : Zamestnani : CasExportu : e-mail : DatumNarozeni

Mám se bát?

Jak zjistit, zda se vás masivní únik týká? Zda je vaše číslo veřejné, zjistíte na webu Haveibeenpwned.com. Stačí do něj zadat číslo s předvolbou +420 (případně jakoukoliv jinou, chcete-li) a zjistit, jestli jste v seznamu. Tahle služba nadto umí i prozradit, jestli někde v uniklé databázi je váš e-mail a ve kterém úniku to bylo (a že jich bylo opravdu hodně!).

Řada položek mluví sama za sebe. První je telefonní číslo, o které jde především, druhé je vaše Facebook ID. A pak jméno, příjmení, pohlaví, bydliště, místo narození, druh vztahu a zaměstnání. Pak je tu čas, ke kterému jsou uvedená data platná. A nakonec i e-mail.

Ten je ale jen velmi výjimečný, jen u zhruba 18 tisíc kontaktů. Výjimkou jsou i lidé, kteří mají na úplném konci zmíněné datum narození. A když, často je jen ve formátu bez roku.

​Kritické místo

Už samotný formát tedy naznačuje, že jediné kritické místo úniku je telefonní číslo. To je u každého, kdo ho použil, i když ho nechtěl zveřejnit. Pokud jste nechtěli zveřejnit své bydliště, e-mail či datum narození, nikdo ho nezískal ani v rámci tohohle masivního úniku.

Hackeři využili chyby, která uměla zobrazit telefonní číslo. Zbytek dat by dokázali snadno získat i nyní.

To je důležité zmínit, protože zahraniční servery (ať už úmyslně, nebo neúmyslně) informovaly o tom, že unikly i e-maily. Některé mají tuhle informaci dokonce i v titulku, i když v těle zprávy jasně píšou, že se to týká jen někoho. Konkrétně těch, kteří e-mail zveřejnili dobrovolně.

Hackeři zkrátka jen využili chyby, která uměla zobrazit telefonní číslo. Zbytek dat by dokázali snadno získat i nyní. Celý únik tak stojí a padá právě na telefonech, které měly být neveřejné. Ty si nyní snadno spojíme se jménem člověka. Což může být problém.

Od Araba za půl kila...

Data se na internetu začala šířit v kompletním balíku o velikosti zhruba 77 GB. Vzhledem k jejich objemu byla cena víc než směšná: přes dva tisíce korun. Jenže málokdo potřebuje znát telefonní čísla třeba z Eritreje. Za zhruba 70 korun se tak velmi brzy dal koupit seznam z libovolné a jakkoliv velké země.

Potvrzení o platbě kupujícím přišlo od typicky arabského jména. Tak typicky, jako kdyby u nás přišlo od Jana Nováka. I když je to zjevná kamufláž, profesionální komunita fanoušků uniklých databází platila ráda. Mohli ji sice snadno vypustit třeba přes proslulou Pirate Bay jako torrent, čistě ze slušnosti a snad až z úcty k těm, kdo si s tím dali takovou práci, tak ale neudělali. Je to komunita, která má svá (zajímavá) pravidla.

Jistě, když vyhledáte v seznamu Andreje Babiše, najdete dva a velmi pravděpodobně ani jeden z nich není premiér. Vše jsou to data, která jsme Facebooku dobrovolně sdělili a nikdo nekontroloval, jestli jsou pravdivá. Obrovské množství dat ale pravdivých je, protože lidé na téhle sociální síti běžně uvádějí svá skutečná jména, i když je k tomu nic nenutí.

Čtyři problémy

Bát se je tedy na místě. Tenhle únik není nic příjemného. Respektive, příjemný být nemusí, když budete mít smůlu. Problémy lze identifikovat v zásadě čtyři.

První je spíše prozaický: nejspíš jste nikomu své číslo dávat nechtěli. Kdybyste jo, asi to prostě uděláte. Jako celá řada lidí, kteří svá telefonní čísla mají veřejněná třeba kvůli podnikaní. A jsou to stejná čísla, která používají ke komunikaci se svými bližními. Někdo to ale tak nemá rád a měli bychom to respektovat. Facebook to způsobem, kterým neochránil vaše data, jednoduše nerespektoval.

Anketa

Jste tam?

Druhý problém se jmenuje phishing. Útočníci můžou použít vaše telefonní číslo k tomu, aby vypadali důvěryhodněji. Když vám přijde spam, ve kterém bude napsáno Milý Dominiku Stroukale, známe se ze střední školy v Žatci, psala jsem Ti na tvé číslo +420…, určitě to bude vypadat důvěryhodněji než tradiční lámaná zpráva od nigerijského krále. Teď už mají i vaše číslo, město, pohlaví. Využít se dá i váš rodinný stav a nepochybně i zaměstnavatel.

Facebook po posledním skandálu v roce 2018 přišel o víc než 40 % hodnoty. Teď to tolik být nemusí...

Třetí je patrně ten nejpřímočařejší: existují chytré způsoby, pomocí kterých se kombinací telefonního čísla a identifikace vašeho profilu může útočník s určitou snahou dostat k vašemu profilu. Díky profilu na Facebooku následně umí převzít celou řadu dalších profilů na jiných sítích, najít v komunikaci citlivá data a škodit vám. Bohužel i takové případy krádeže identity jsou dobře popsané, občas skončí u soudu.

A nakonec nelze nezmínit, že se vás únik dat může dotknout i finančně. Tedy pokud vlastníte nějaké akcie Facebooku. Ty sice zatím nijak výrazně nepadají, ale po březnovém raketovém růstu je i mírný pokles znakem obav. Ty navrch posílí ve chvíli, kdy se únik dat dostane ve Spojených státech či jinde k soudu. A je to patrně jen otázka času.

Vývoj cen akcií Facebooku

Zdroj: peníze.cz

Facebook po posledním skandálu v roce 2018 přišel o víc než 40 % hodnoty. Teď to tolik být nemusí, protože jsme si tak trochu zvykli a téma máme tendenci bagatelizovat. Soudy ve Spojených státech ale umí udělat ohňostroj i kolem méně závažných problémů. Pro nás to tak může být finančně problém. Ale na trzích je i problém příležitostí.

Mám číslo na Zuckerberga...

Chcete napsat přímo poslancům? Pár jich tam najdete a stačí si jen vyhledat „poslanec“, protože to o sobě na Facebooku rádi veřejně tvrdí. Známe ostatně i číslo na samotného Marka Zuckerberga a zjistili jsme z něj, že používá aplikaci se šifrovanou komunikací Signal. Což není překvapení, protože by ji měl používat každý, kdo si váží soukromí.

​Změňte si heslo

Co se vás konkrétně týče, i když se v seznamu najdete, pravděpodobně se nic nestane. I vy nad tím asi mávnete rukou. Ale je to jen otázka štěstí, že si z 533 milionů účtů útočník nevybral zrovna ten váš. Automaticky se to nestane, obvykle je k tomu třeba nějaká ta manipulace, trocha sociálního inženýrství, ale věřte tomu, že chyby udělali i ti paranoidnější z nás.

Někdy ale není potřeba ani nic moc vymýšlet, protože vaše heslo mohlo uniknout někde jinde. Když se spojí s vaším e-mailem či telefonním číslem, útočník ho vyzkouší i na vašem Facebooku. Je tak nasnadě si tohle heslo prostě změnit. Udělejte to.

Pro příště pak používejte manažera hesel. Nedávejte Facebooku ani jiným serverům data, která nepotřebují. A nastavte si na přihlašování, kdekoliv to jen jde, dvoufázovou autentizaci. Nikoliv přes SMS (protože útočník vaše číslo dobře zná a umí s tím občas i pracovat), ale přes externí autentizační aplikaci na mobilním telefonu. Nebo ještě lépe přes hardwarový klíč.

FINMAG NA PRÁZDNINY!

Finmag červen 2021Zdroj: Finmag

Na internetu naletíš hned, říká Mikýř. Jakub Jetmar se ptá, jak je Martinu Mikyskovi v dresu strážce webové morálky, který drtí internetové pokrytce i prodejce hrnců

Start me up! Pavel Jégl zkoumá, jak chystáme půdu startupům • Michal Hron s Andrejem Kiskou ml. na lovu jednorožce • Martin Vlnas se ptá šéfa CzechInvestu, co má pro startupery • Jak se stal z Izraelců startup nation?

Drogy vyhrály. Před 50 lety Richard Nixon vyhlásil válku drogám. Prohrály USA, prohrály země, které do vojny zatáhly. Ale zas to stálo hodně peněz

FIN. Bitcoin drž, utrácej špatné peníze. Dominik Stroukal představuje kryptomilionáře z chatrče • Josef Tětek ví, že bitcoin není bio. Ale zelená, neb se to vyplatí • Rádce Petra Kučery, šéfa Peníze.cz

Autor článku

Dominik Stroukal

Dominik Stroukal

Hlavní ekonom Platební instituce Roger, expert na kryptoměny. Vystudoval ekonomii na VŠE a mediální studia na UK. Vyučuje na vysoké škole CEVRO institut. Je šéfredaktorem časopisu Trade-off, managing directorem odborného časopisu New Perspectives on Political Economy, ekonomickým poradcem SatoshiLabs a vede společnost bit agency.