Irská komise pro ochranu dat, hlavní regulátor společnosti Facebook v EU, minulý týden zahájila vyšetřování provozovatele této sociální sítě kvůli rozsáhlému úniku dat. Dosavadní důkazy naznačují, že Facebook mohl porušit nařízení o ochraně osobních údajů. Společnost tvrdí, že při úniku šlo ve skutečnosti o veřejná data a nechce uživatele sociální sítě na problém ani upozornit.

Začátkem dubna se na internetu objevila volně přístupná databáze obsahující osobní údaje 533 milionů uživatelů Facebooku, jako jsou mobilní čísla, facebooková ID, jména, pohlaví, bydliště, vztah, povolání, data narození a e-mailové adresy.

Databázi objevil izraelský bezpečnostní expert Alon Gal. Z jeho pozorování vyplývá, že se s údaji v hackerských komunitách obchodovalo a nakládalo již delší období. „Je tomu tak pokaždé, data se prodávají levněji a levněji, dokud neuniknou zdarma,“ řekl Gal v rozhovoru pro BleepingComputer.

Facebook: Díru jsme opravili

Irská komise zahájila vyšetřování společnosti ve středu 14. dubna. Do té doby čekala na více důkazů od Facebooku, který podle ní nebyl v komunikaci aktivní. Po zvážení informací poskytnutých Facebookem dospěla komise k názoru, že Facebook mohl porušit některá ustanovení nařízení o ochraně osobních údajů (GDPR).

Jak již komise uvedla minulý týden, část objevených údajů pochází z rozsáhlého úniku dat, k němuž došlo ještě před platností GDPR mezi červnem 2017 a dubnem 2018. Zároveň však dodala, že data obsahují i další záznamy, které by mohly pocházet z pozdějšího období.

Text Jakuba Onderky vyšel původně na serveru Euractiv, s nímž HlídacíPes.org spolupracuje.

Mluvčí Facebooku Liz Bourgeoisová navíc uvedla, že bezpečnostní díra byla uzavřena v srpnu 2019, což je více než rok po vstupu nařízení GDPR v platnost. „Jsou to stará data, která byla dříve ohlášena v roce 2019. Tento problém jsme našli a opravili v srpnu 2019,“ napsala na Twitteru Bourgeoisová.

Zatím není známo, kdy a kolikrát byla bezpečnostní díra zneužita. Mluvčí Evropské komise uvedl, že únik dat „pouze potvrzuje význam GDPR pro ochranu základních práv, zvláště, když jde o údaje milionů Evropanů.“

Podle nařízení GDPR musí být oznámeny závažné úniky nebo narušení dat příslušnému regulačnímu orgánu do 72 hodin, jinak firmám hrozí pokuta a jiná donucovací opatření.

Experti: Je to slabé vysvětlení

Facebook se ve svém prohlášení brání, že informace v databázi byly ve skutečnosti veřejné. „Je důležité si uvědomit, že za únikem stojí lidé se špatnými úmysly, kteří získali data nikoli ‚hackováním‘ ale ‚scrapingem‘ (získávání veřejných informací z internetu pomocí automatizovaného softwaru – pozn. red.) z naší platformy před zářím 2019,“ uvedla společnost.

Experti ale argumenty Facebooku zpochybňují. „Prohlášení Facebooku, že data jsou veřejná, je zavádějící, protože obsahují také telefonní čísla, která v profilu uživatelů nebyla viditelná,“ uvedl belgický etický hacker Inti De Ceukelaire. Takzvaní etičtí hackeři upozorňují na slabiny systémů a pomáhají je opravovat místo jejich zneužívání.

Reportér BuzzFeedu Ryan Mac poukázal na to, že vysvětlení Facebooku je směšné, protože je v potlačování scrapingu nečinný. „Za poslední rok jsem se Facebooku více než desetkrát zeptal, zda podnikne právní kroky proti společnosti Clearview AI za scraping pravděpodobně milionů fotek z Instagramu a Facebooku. Nebyly ale podány žádné soudní žaloby a Facebook se k případu ani nevyjádřil,“ napsal Mac na svém Twitteru.

Jak ironicky poznamenala spisovatelka Sarah Frierová, nabízí se otázka, zda odvolání na scraping celkově vylepšuje obrázek o internetovém gigantu, protože pokud by bylo k získání dat zapotřebí Facebook hacknout, znamenalo by to aspoň, že byl nějak zabezpečen.

Uživatelé, je to na vás

Facebook oznámil, že dotčených 533 milionů uživatelů nemá v úmyslu na únik dat upozornit. Ochrana před útoky hackerů je proto na bedrech samotných uživatelů. Uniklé údaje totiž mohou sloužit mimo jiné k spamovým emailům, robocallům, nevyžádané reklamě, phishingu a k jiným manipulacím.

Lidé si mohou zjistit, zda se jejich e-mail nebo telefonní číslo nachází v této nebo jiných uniklých databázích v minulosti například pomocí webu „Have I Been Pwned“.

Odborníci doporučují, aby si všichni uživatelé Facebooku dávali pozor na podivné e-maily nebo texty, které požadují další informace nebo žádají o kliknutí na přiložené odkazy. Dále v rámci „první pomoci“ doporučují změnit si hesla, nepoužívat jednoduché kombinace, použít různá hesla k různým účtům, případně používat správce hesel a vícefázová ověření.