Slovenski nacionalni odzivni center za obravnavo incidentov s področja varnosti elektronskih omrežij in informacij SI-CERT je v ponedeljek objavil opozorilo, da je bila na hekerskih forumih dostopna zbirka podatkov o 533 milijonih uporabnikov družbenega omrežja facebook. Med temi podatki je tudi 110.177 številk slovenskih uporabnikov. Po merjenju World Population Review je bilo v Sloveniji leta 2019 910.000 facebook uporabnikov. Objavljene telefonske številke po tej oceni predstavljajo kar 12 odstotkov vseh slovenskih uporabnikov facebooka, so opozorili pri SI-CERT.
Med ukradenimi podatki lahko najdemo ime uporabnika, spol, telefonsko številko uporabnika in številko profila na omrežju facebook, ob tem pa še datum zajema podatkov o uporabniku. V nekaterih primerih lahko podatki vsebujejo tudi trenutno in prejšnje mesto prebivanja, ime delodajalca, status osebnega razmerja, naslov elektronske pošte in rojstni datum. Nekateri od teh podatkov (razen telefonske številke) so bili morda tudi sicer javno dostopni vsem uporabnikom facebooka, odvisno od nastavitev profila.
Gesla niso del zbirke
Primer je pričel preiskovati tudi irski nadzorni organ za varstvo osebnih podatkov (DPC). V današnji izjavi so pri DPC sporočili, da naj bi objavljena zbirka podatkov verjetno vsebovala podatke iz baze podatkov, ki je bila objavljena v letu 2018, pri čemer so lahko dodani tudi podatki iz kasnejših obdobij. Podatki v zbirki so bili po informacijah DPC verjetno pridobljeni iz javnih profilov uporabnikov, še pred veljavnostjo Splošne uredbe (GDPR) in preden je Facebook spremenil svoje nastavitve in z njimi preprečil tovrstno zbiranje podatkov uporabnikov iz javnih profilov.
Facebook pojasnjuje, da so objavljeni podatki lahko združeni iz različnih virov, obljubljajo pa tudi, da bodo zadevo preiskali prioritetno. Pri DPC ob tem izpostavljajo, da podjetje Facebook z organom komunikacije ni vzpostavil samoiniciativno. Dodali so, da bodo z javnostjo delili dodatne podrobnosti, ko prejmejo podrobnejše podatke od Facebooka. Pri podjetju pravijo, da morajo zadevo zaradi kompleksnosti temeljito preučiti.
Facebook porabnikom sicer svetuje previdnost. Ker podatki vsebujejo tudi e-naslove in telefonske številke, lahko uporabniki prejemajo neželena elektronska sporočila ter klice, prav tako pa so lahko ti podatki zlorabljeni za dostop do drugih računov uporabnikov, kjer se je treba identificirati z e-naslovom oziroma telefonsko številko. Pri SI-CERT sicer izpostavljajo, da v javno objavljenem seznamu ni uporabniških gesel. »Zato samo to ni razlog za takojšnjo zamenjavo gesla,« pravijo, a dodajajo: »Vsekakor pa priporočamo, da gesla občasno menjate, uporabljate različna gesla za različne storitve, vklopite večfaktorsko preverjanje pri prijavah in se potrudite, da gesla ne bo lahko uganiti.«
Pazljivo s prejetimi klici iz tujine
Pri SI-CERT verjetnost, da so v zbirki tudi naši podatki, povezujejo s tem, koliko podatkov smo javno objavili na facebooku. »Če dovolite dostop do podatkov in objav le prijateljem in sledilcem, potem je vaša izpostavljenost manjša,« pravijo. »Sicer se lahko podatki uporabljajo za profiliranje pri oglaševanju in poskuse družbenega inženiringa. Pri tem bi izpostavili lažne klice Microsoft podpore ali vabila v investicijske sheme za kriptovalute, ki sta trenutno aktualni prevari.«
K previdnosti poziva tudi informacijska pooblaščenka Mojca Prelesnik. »Pozorni bodite na morebitna phishing sporočila, ki jih lahko prejemate na svoje e-naslove, na klice z neznanih telefonskih številk, še posebej iz tujine. Če klicatelja ne prepoznate, se na klic ni priporočljivo odzvati, saj to lahko povzroči stroške. Priporočljivo je, da zamenjate gesla do svojih drugih računov, kjer uporabljate svoj e-naslov ali telefonsko številko za avtentikacijo in da ste pozorni na morebitne vdore v račune,« pravi.
Kolikokrat so se naši elektronski naslovi oziroma uporabniški računi že znašli na podobnih seznamih, lahko sicer preverimo tudi na spletni strani https://haveibeenpwned.com/.
