Změňte heslo, prodejte akcie. Facebook možná pustil i vaše data

Že z Facebooku unikla data, už pravděpodobně víte. Ale znáte někoho, kdo je viděl? My ano.

Před pár dny se databáze objevila na internetu. Někdo nad tím ironicky mávnul rukou, jiní se úniku databáze naopak děsí. Ale nechoďme kolem horké kaše a podívejme se dovnitř.

Co v uniklé databázi ve skutečnosti je? A co může únik dat znamenat konkrétně pro vás?

​Hezky přehledně

Hacker, který data z celého světa získal, je seřadil podle předvoleb telefonního čísla. A pak on či někdo z jeho kolegů vše s českou předvolbou +420 dál seřadil od prvního čísla začínajícího 601 a nazval Czech Republic.txt. Soubor má 144 MB a přehledný formát, aby se data dala snadno prohnat databází. Kdybyste to udělali, získáte celkem 1 375 988 českých telefonních čísel. Ke každému pak náleží základní informace, které o sobě daný člověk řekl.

What the... aneb Jak se tohle stalo?!

Shutterstock

Facebook měl před několika lety chybu ve vyhledávači kontaktů, která umožnila zobrazit jinak skryté telefonní číslo. Souvisela se schopností sociální sítě vyhledávat kontakty dle čísel ve vašem tefonním seznamu. Když se tedy chytře zadalo jedno číslo po druhém, dalo se zjistit, kdo se pod ním skrývá. K tomu se pak vytahaly všechny veřejně známé informace a seznam byl na světě.

Facebook se zaklíná tím, že je to starý únik a data jsou už stará. Chybu skutečně v roce 2019 odstranil, ale zjevně pozdě. Navíc, kolik z vás si některý z údajů od té doby změnilo? Máte jiné telefonní číslo či jméno? Založili jste si úplně nový účet na Facebooku pod jiným identifikačním číslem? Pokud ne, je pro vás úplně irelevantní, že je útok staršího data.

Chyby podobného charakteru se přitom zkrátka dějí, třeba server Spolužáci.cz mi kdysi umožnil jako správci třídy vidět pod hvězdičkami skutečná hesla všech spolužáků. A sám Facebook jeden čas umožnil na krátkou dobu vidět, kdo spravoval jednotlivé stránky. Tehdy se v plné nahotě ukázalo, kdo píše za různé dezinformační servery a podobně. Jenže tehdy to nemělo takový dopad na každého z nás.

Takový typický záznam vypadá nějak takhle:

420601123456 : 1234567890 : Jmeno : Prijmeni : Pohlavi : Bydliste : MistoNarozeni : Vztah : Zamestnani : CasExportu : e-mail : DatumNarozeni

Řada položek mluví sama za sebe. První je telefonní číslo, o které jde především, druhé je vaše Facebook ID. A pak jméno, příjmení, pohlaví, bydliště, místo narození, druh vztahu a zaměstnání. Pak je tu čas, ke kterému jsou uvedená data platná. A nakonec i e-mail.

Ten je ale jen velmi výjimečný, jen u zhruba 18 tisíc kontaktů. Výjimkou jsou i lidé, kteří mají na úplném konci zmíněné datum narození. A když, často je jen ve formátu bez roku.

​Kritické místo

Už samotný formát tedy naznačuje, že jediné kritické místo úniku je telefonní číslo. To je u každého, kdo ho použil, i když ho nechtěl zveřejnit. Pokud jste nechtěli zveřejnit své bydliště, e-mail či datum narození, nikdo ho nezískal ani v rámci tohohle masivního úniku.

Hackeři využili chyby, která uměla zobrazit telefonní číslo. Zbytek dat by dokázali snadno získat i nyní.

To je důležité zmínit, protože zahraniční servery (ať už úmyslně, nebo neúmyslně) informovaly o tom, že unikly i e-maily. Některé mají tuhle informaci dokonce i v titulku, i když v těle zprávy jasně píšou, že se to týká jen někoho. Konkrétně těch, kteří e-mail zveřejnili dobrovolně.

Hackeři zkrátka jen využili chyby, která uměla zobrazit telefonní číslo. Zbytek dat by dokázali snadno získat i nyní. Celý únik tak stojí a padá právě na telefonech, které měly být neveřejné. Ty si nyní snadno spojíme se jménem člověka. Což může být problém.

Jistě, když vyhledáte v seznamu Andreje Babiše, najdete dva a velmi pravděpodobně ani jeden z nich není premiér. Vše jsou to data, která jsme Facebooku dobrovolně sdělili a nikdo nekontroloval, jestli jsou pravdivá. Obrovské množství dat ale pravdivých je, protože lidé na téhle sociální síti běžně uvádějí svá skutečná jména, i když je k tomu nic nenutí.

Čtyři problémy

Bát se je tedy na místě. Tenhle únik není nic příjemného. Respektive, příjemný být nemusí, když budete mít smůlu. Problémy lze identifikovat v zásadě čtyři.

První je spíše prozaický: nejspíš jste nikomu své číslo dávat nechtěli. Kdybyste jo, asi to prostě uděláte. Jako celá řada lidí, kteří svá telefonní čísla mají veřejněná třeba kvůli podnikaní. A jsou to stejná čísla, která používají ke komunikaci se svými bližními. Někdo to ale tak nemá rád a měli bychom to respektovat. Facebook to způsobem, kterým neochránil vaše data, jednoduše nerespektoval.

Druhý problém se jmenuje phishing. Útočníci můžou použít vaše telefonní číslo k tomu, aby vypadali důvěryhodněji. Když vám přijde spam, ve kterém bude napsáno Milý Dominiku Stroukale, známe se ze střední školy v Žatci, psala jsem Ti na tvé číslo +420…, určitě to bude vypadat důvěryhodněji než tradiční lámaná zpráva od nigerijského krále. Teď už mají i vaše číslo, město, pohlaví. Využít se dá i váš rodinný stav a nepochybně i zaměstnavatel.

Facebook po posledním skandálu v roce 2018 přišel o víc než 40 % hodnoty. Teď to tolik být nemusí...

Třetí je patrně ten nejpřímočařejší: existují chytré způsoby, pomocí kterých se kombinací telefonního čísla a identifikace vašeho profilu může útočník s určitou snahou dostat k vašemu profilu. Díky profilu na Facebooku následně umí převzít celou řadu dalších profilů na jiných sítích, najít v komunikaci citlivá data a škodit vám. Bohužel i takové případy krádeže identity jsou dobře popsané, občas skončí u soudu.

A nakonec nelze nezmínit, že se vás únik dat může dotknout i finančně. Tedy pokud vlastníte nějaké akcie Facebooku. Ty sice zatím nijak výrazně nepadají, ale po březnovém raketovém růstu je i mírný pokles znakem obav. Ty navrch posílí ve chvíli, kdy se únik dat dostane ve Spojených státech či jinde k soudu. A je to patrně jen otázka času.

Facebook po posledním skandálu v roce 2018 přišel o víc než 40 % hodnoty. Teď to tolik být nemusí, protože jsme si tak trochu zvykli a téma máme tendenci bagatelizovat. Soudy ve Spojených státech ale umí udělat ohňostroj i kolem méně závažných problémů. Pro nás to tak může být finančně problém. Ale na trzích je i problém příležitostí.

​Změňte si heslo

Co se vás konkrétně týče, i když se v seznamu najdete, pravděpodobně se nic nestane. I vy nad tím asi mávnete rukou. Ale je to jen otázka štěstí, že si z 533 milionů účtů útočník nevybral zrovna ten váš. Automaticky se to nestane, obvykle je k tomu třeba nějaká ta manipulace, trocha sociálního inženýrství, ale věřte tomu, že chyby udělali i ti paranoidnější z nás.

Někdy ale není potřeba ani nic moc vymýšlet, protože vaše heslo mohlo uniknout někde jinde. Když se spojí s vaším e-mailem či telefonním číslem, útočník ho vyzkouší i na vašem Facebooku. Je tak nasnadě si tohle heslo prostě změnit. Udělejte to.

Pro příště pak používejte manažera hesel. Nedávejte Facebooku ani jiným serverům data, která nepotřebují. A nastavte si na přihlašování, kdekoliv to jen jde, dvoufázovou autentizaci. Nikoliv přes SMS (protože útočník vaše číslo dobře zná a umí s tím občas i pracovat), ale přes externí autentizační aplikaci na mobilním telefonu. Nebo ještě lépe přes hardwarový klíč.

Jak jde dohromady byznys a medicína? Dočtete se v novém Finmagu

Je medicína byznys? Jak pro koho. „Frustraci mladých lékařů chápu. Nemají ani na chůvu, aby jim pohlídala děti, když pracují,“ říká přednosta chirurgické kliniky Robert Lischke.

Zdroj: Finmag

MEDICÍNA A BYZNYS

Jak venkovští praktici nepřicházejí o iluze • Ženy mění medicínu • Nejstarší pražská nemocnice objektivem Alžběty Jungrové • Nejdražší léky na světě • Obézních přibývá, Česko dohání USA.

BYZNYS JE HRA

„Investice do umění se do tabulek nevtěsná,“ říká Pavlína Pudil z Kunsthalle • Nejdražší materiál roku 2023? Hrst štěrku z vesmíru za miliardu dolarů • Ekologie musí být podle Tomáš Nemravy, výrobce dřevěných domů, ekonomická.

Koupit Finmag