Jeśli Facebook wyświetlił ci taką wiadomość, to masz pecha i jesteś wśród 30 mln zaatakowanych kont
Gigantyczna dziura w zabezpieczeniach facebookowych kont mogła narazić nawet 50 mln użytkowników. W rzeczywistości poszkodowanych jest znacznie mniej. Choć i tak sytuacja wygląda kompromitująco.
Facebook. Setki milionów aktywnych użytkowników, którzy w dużej części ze zdumiewającą swobodą dzielą się na nim swoimi prywatnymi sprawami. I przetwarzanie informacji na zdumiewającą skalę i o zdumiewającej skuteczności, zapewniające przerażająco dokładną wiedzę na temat istotnej części sporej części z nas.
Ktoś mógłby pomyśleć, że firma zajmująca się tak poważnymi sprawami zabezpiecza przetwarzane przez siebie dane przed dostępem z zewnątrz w sposób absolutnie nie do ruszenia. Korporacje jednak składają się z ludzi, a ci popełniają błędy. Usterka w mechanizmie Podejrzyj jako – według pierwotnych informacji – mogła umożliwić włamywaczom wgląd do poufnych danych niemal 50 mln użytkowników usług Facebooka.
To tylko koszmar, nie apokalipsa.
Facebook przyznaje, że nie zakończył jeszcze śledztwa w tej sprawie. Informuje jednak, że według zebranych przez jego specjalistów dowodów, profile użytkowników kont Facebooka były narażone na niepowołany dostęp od lipca ubiegłego roku do września bieżącego. Potwierdzają one też wstępną diagnozę, że włamywacze wykorzystywali tokeny dostępu do profili, jakie pozyskali z wadliwie działającej funkcji Podejrzyj jako, która pozwala użytkownikom wygenerować podgląd ich profili z punktu widzenia wskazanych przez siebie użytkowników.
Skradziono nie 50 mln, a 30 mln tokenów. Na szczęście nie pozwalały one na uzyskiwanie informacji z powiązanych z Facebookiem usług, takich jak komunikator Messenger. Włamywacze przejęli na skutek włamania:
- z 15 mln kont pobrali nazwiska i dane kontaktowe (mail, numer telefonu – jeżeli zostały podane)
- z 14 mln kont pobrali wszystko co powyższe, oraz szczegółowe informacje profilu, na które składają się nazwa użytkownika, płeć, region, język, status związku, informacje o wyznaniu, miasto rodzinne, miasto bieżące (wpisane przez użytkownika, nie pobrane z usług lokalizacyjnych), data urodzenia, rodzaje powiązanych z Facebookiem urządzeń użytkownika, wykształcenie, historia zawodowa, ostatnich 10 miejsc w których użytkownik się zameldował, strona domowa, lista obserwowanych stron i profili i 15 ostatnich zapytań do wyszukiwarki
- 1 mln tokenów nie został wykorzystany.
Nikt nie widział nagich zdjęć i prywatnych rozmów na skutek włamania. Pobrane dane są jednak niebezpieczne. Jak sprawdzić, czy ktoś podejrzał nasze dane na Facebooku?
Na początku sprawdźmy, czy nasze konto w ogóle należało do tej felernej 30-milionowej grupy. By to zrobić, należy odwiedzić przygotowaną do tego celu przez Facebooka witrynę. Z bliżej niezrozumiałych względów nie jest dostępna w języku polskim, choć to komunikat po polsku nas do niej odesłał. Interesuje nas napis na niebieskim podlewie pod koniec linkowanej notki.
W przeciągu, tu cytując Facebooka, najbliższych dni wszystkie poszkodowane osoby dostaną spersonalizowaną wiadomość od firmy. Pojawi się ona na samej górze interfejsu aplikacji. Wiadomość będzie zawierać informacje jakie konkretne dane zostały nam skradzione i jakich działań powinniśmy niezwłocznie dokonać, by nie musieć się mierzyć potem z nieprzyjemnymi dla nas konsekwencjami.
Nie znamy jeszcze treści tych wiadomości. Ostrzegamy jednak przed oczywistymi zagrożeniami.
Mając szczegółowe dane kontaktowe należące do nas, włamywacze mogą spreparować bardzo autentycznie wyglądające wiadomości od usługodawców, z których korzystamy. To oznacza, że należy – co, mamy nadzieję, robicie zawsze – ze szczególną ostrożnością czytać otrzymane przez nas wiadomości tekstowe i mailowe. Z równie dużą podejrzliwością należy traktować nieznajome, telefonujące do nas osoby.
Możemy bowiem paść ofiarami wyłudzeń. Jeżeli więc będziemy proszeni o podanie naszych prywatnych informacji, takich jak stare hasło do konta celem zmiany na nowe, zachowajmy szczególną ostrożność, a w razie podejrzeń sami skontaktujmy się z usługodawcą standardową drogą i upewnijmy się, czy faktycznie potrzebne są jakieś nasze prywatne informacje i w jakim celu. Instytucje takie, jak bank, nigdy nie będą nas mailem prosić o wygenerowanie nowego hasła.