Wyciek z Facebooka: u hakerów m.in. dane 2,7 miliona użytkowników z Polski. Jak to się stało?

3 kwietnia na forum poświęconym hakowaniu opublikowano nietypowe ogłoszenie z kategorii „oddam za darmo”: baza danych zawierająca niepubliczne informacje ponad pół miliarda kont użytkowników Facebooka z ponad stu krajów. Czy w ostatnich dniach nastąpiła jedna z bardziej spektakularnych kradzieży danych w historii Internetu?

W styczniu eksperci śledzący wycieki danych zauważyli pojawienie się w 2020 roku ogłoszenia dotyczącego problematycznego zbioru – identyczna liczba rekordów dla poszczególnych krajów pozwala utożsamić ze sobą sprawy. W zapewniającym anonimowość szyfrowanym komunikatorze Telegram zaimplementowano bota (automatyczny program prowadzący konwersację), który za niewielką opłatą pozwalał pobierać i weryfikować dane poszczególnych użytkowników. Teraz całość bazy została umieszczona w internecie za darmo. Dziennikarze anglojęzycznego "Business Insider" próbowali skontaktować się z autorem wycieku przez ślady na Telegramie – bezskutecznie.

Z analiz wynika, że wyciek dotyczy kont, które nie prezentowały publicznie powyższych informacji, w szczególności adresu mailowego oraz numeru telefonu. Ofiarami ataku stali się nawet sami założyciele korporacji. Wśród rekordów znajdują się między innymi dane Marka Zuckerberga.

Wiele mediów poleca stronę "Have I been pwned" stworzoną przez Troya Hunta, dyrektora regionalnego Microsoftu. Pozwala sprawdzić, czy nasza skrzynka pocztowa stała się elementem znanych naruszeń ochrony danych. Dla przykładu, mój najstarszy adres mailowy pojawił się sześciokrotnie w ramach incydentów o różnym poziomie zagrożenia, w tym też przez uchybienia znanych firm: Dropboxa, Adobe czy CD Projekt RED.

Jednak w tym przypadku to niewielka pomoc. "Have I been pwned" nie pozwala wyszukać naruszenia danych po numerze telefonu, a właśnie ta informacja stanowiła motor napędowy ataku hakerów. W polskiej „wersji” wycieku – zgodnie z informacjami portalu Niebezpiecznik – adresy mailowe zostały niemal nienaruszone.

Rzecznik Facebooka Liz Shepherd twierdzi na Twitterze (wciąż czekamy na oficjalne oświadczenie przedsiębiorstwa), że sprawa dotyczy naprawionej w sierpniu 2019 roku luki, w związku z czym klienci korporacji nie mają powodów do zmartwień. Czy ma rację?

Wyciek z Facebooka, czyli numer do numeru

Można powiedzieć: nie ma haseł, nie ma wiadomości, nie ma afery. Niestety, to nieprawda.

W przypadku indywidualnego ujawnienia danych byłby to znikomy problem łatwy do zatarcia w porozumieniu z użytkownikiem. Jednak w dużej skali informacje stanowią cenną zdobycz dla przestępców. Przy ich użyciu można przeprowadzić masowe ataki socjotechniczne typu phishing (podszywanie się pod znaną instytucję, na przykład urząd lub bank) lub prowadzić inne aktywności oparte na kradzieży tożsamości. Prawie trzy miliony rekordów to ogromne pole do działalności i wielki wkład do automatów rozsyłających SPAM i fałszywe wiadomości. Co więcej, osoby zainteresowane wyłudzeniami i oszustwami połączą tę bazę z uprzednio zdobytymi.

W ostatnich latach nastąpiło wiele incydentów bezpieczeństwa.

Prawdopodobnie największy wyciek danych w Polsce rozpoczął się od błędów sklepu Morele.net, który stał się ofiarą ataku hakerskiego. Pomimo prób negocjacji z przestępcą (lub całą grupą) 17 kwietnia 2019 roku do sieci trafił plik z informacjami dotyczącymi 2,5 miliona klientów. Urząd Ochrony Danych Osobowych zgodnie z zasadami RODO nałożył na firmę karę prawie trzech milionów złotych. W ocenie administracji system informatyczny sprzedawcy nie był wystarczająco dobrze zabezpieczony, a Wojewódzki Sąd Administracyjny w Warszawie podtrzymał tę decyzję.

W 2020 roku infrastruktura Politechniki Warszawskiej okazała się podatna na atak. Winny był archaiczny system zdalnego nauczania – uczelnia nie dostosowała go pod wymogi unijnego rozporządzenia o ochronie danych osobowych. W konsekwencji znalazły się tam łatwe do wydobycia numery PESEL i dokumentów studentów, a także oceny czy treść korespondencji. Także Uniwersytet Warszawski wpadł w podobne kłopoty – dane pracowników i studentów niektórych wydziałów były źle zabezpieczone ponad trzy lata.

Afera z incydentem bezpieczeństwa zachwiała kandydaturą prof. Małgorzaty Manowskiej na stanowisko I Prezesa Sądu Najwyższego. Zarządzana przez nią Krajowa Szkoła Sądownictwa i Prokuratury była źródłem wycieku danych ponad 50 tysięcy osób pracujących dla systemu sprawiedliwości, w tym sędziów i prokuratorów.

W lutym 2021 roku hakerzy dokonali głośnego włamania na serwery CD Projekt RED, kradnąc między innymi kody źródłowe produkcji polskiego studia. Ofiarami przestępstwa stali się także sami pracownicy – szybko zaczęli wymieniać dowody osobiste i weryfikować status w Biurze Informacji Kredytowej.

Duży występek i mała kara

Pisaliśmy w OKO.press o pobłażliwym stosunku irlandzkiego urzędu danych osobowych do amerykańskiego przedsiębiorstwa (lokalizacja w Dublinie wynika z łagodnej polityki fiskalnej Irlandii dla dużych korporacji). Mimo zaostrzenia kontroli nad Facebookiem wynikającej z presji opinii publicznej oraz działalności cyfrowych aktywistów środowisko regulacyjne nie spodziewa się użycia wszystkich dostępnych instrumentów w celu wyjaśnienia sprawy.

Dla przypomnienia, najwyższe możliwe kary uwzględnione w prawie unijnym dla podmiotów komercyjnych to sankcja finansowa o dwóch progach w zależności od rodzaju naruszenia. Pierwszy wynosi do 10 milionów euro lub do 2 proc. wartości rocznego światowego obrotu przedsiębiorstwa, drugi zaś 20 milionów euro lub do 4 proc. wartości rocznego światowego obrotu przedsiębiorstwa.

Irlandzki urząd aktualnie prowadzi wiele postępowań przeciwko imperium Zuckerberga (oprócz Facebooka także Instagram i WhatsApp pozostają na celowniku regulatora). Pisaliśmy w OKO.press o prawnie wątpliwych planach cyfrowego giganta na rozwój.

Zakres możliwych środków niezbędnych na ten cel oszacowano na… od 154 do 541 milionów euro. Być może Facebook spodziewał się tej sytuacji.

W związku z przewidywaniami uwzględniającymi znaczne kary rodzą się pytania, kiedy Facebook dowiedział się o naprawionym w sierpniu 2019 roku błędzie i czy irlandzki urząd ochrony danych osobowych został powiadomiony o wystąpieniu groźnych dla użytkowników zdarzeń. Wygląda na to, że nie zostały podjęte żadne działania tego rodzaju, jak również klienci Facebooka nie otrzymali żadnych informacji.

To nie pierwszy raz, gdy baza danych takich rozmiarów zostaje odnaleziona w sieci. Pomińmy motywowaną politycznie i wielokrotnie analizowaną sprawę Cambridge Analytica kosztującą giganta karę 5 miliardów dolarów od Federalnej Komisji Handlu USA (po której Facebook obiecał nadać bezpieczeństwu i prywatności najwyższy priorytet). W tym przypadku dostęp do bardzo szerokich danych co najmniej 87 milionów osób miało przedsiębiorstwo z konkretnym celem propagandowym, a nie dowolny użytkownik z ponadprzeciętnymi umiejętnościami wyszukiwania.

Na przełomie 2019 i 2020 roku Bob Duchenko, specjalista od zagrożeń cyfrowych, ujawnił istnienie bazy zbierającej dane blisko trzystu milionów użytkowników Facebooka, głównie ze Stanów Zjednoczonych. Choć udało się ją zdjąć z indeksowanych przez wyszukiwarki serwerów bez wątpienia dalej pozostaje w obiegu na peryferiach sieci. Nie wiadomo, czy istnieje powiązanie z aktualnym wyciekiem.

Normalizacja dziur

Kradzieże danych osobowych poprzez luki i włamania na stałe wpisały się w krajobraz Internetu. Stanowią codzienność wynikającą z nadprodukcji danych przez użytkowników oraz zbierających je (a wręcz zmuszających do przekazania) instytucji. RODO uporządkowało zasady informowania poszkodowanych oraz karania za niedopatrzenia w systemie bezpieczeństwa, dzięki czemu opinia publiczna jest lepiej poinformowania niż w czasach, gdy wszelkie wycieki skrzętnie ukrywano i bagatelizowano ich znaczenie.

Zamiast wzmożonej ostrożności, przyjęte postawy społeczne cechują się jednak normalizacją zjawiska i przyzwyczajeniem do wycieków danych, a wręcz zobojętnieniem (co częściowo wynika z kulturowych przedstawień hakerstwa jako szlachetnego przestępstwa).

Cyfrowa migracja biznesu i administracji państwowej w czasach pandemii stanowi dodatkowy czynnik ryzyka. Sprawozdanie finansowe Facebooka prognozujące nawet pół miliarda euro kar w oparciu o europejskie regulacje ochrony danych wskazuje dominującą postawę: kalkulację ryzyka i administrowanie błędami wynikającymi ze szkodliwego społecznie modelu biznesowego.