No dobra, nie nas, ale Pana X zaprzyjaźnionego z redakcją HomoDigital. Nam tym razem się upiekło, ale ku przestrodze od środka opisujemy jak katastrofalny w skutkach może być taki wyciek danych.
Informacje o wycieku danych z Facebooka zaczęły pojawiać się tuż przed i w czasie świąt. Ponoć sama baza krążyła w odmętach ciemniejszej strony sieci już od pół roku, ale teraz, jakaś „dobra dusza” postanowiła ją udostępnić. Nieodpłatnie.
I ktoś z tej oferty musiał skorzystać, skoro błyskawicznie pojawiły się także problemy. Podejrzewam też, że baza mogła trafić w ręce wielu nastoletnich amatorów internetowych przygód i warto byłoby jakoś te nasze fejsowe konta przed nimi zabezpieczyć. Ale i o tym za chwilę.
Co przydarzyło się Panu X?
Pan X, bo tak będziemy go nazywać, rzadko korzysta z Facebooka, a jeśli już, to głównie z Messengera. I zdecydowanie nie należy do osób, które dają się nabrać na kliknięcia w linki mające ratować „biedne dzieci” lub „głodne szczeniaczki”, co jest dosyć popularną przyczyną złapania internetowego kataru i związanego z tym przejęcia konta lub wycieku danych.
Hasło do konta pana X na Facebooku zostało zmienione na dwuskładnikowe w czwartek. Ze wszystkimi szykanami, czyli z podaniem numeru telefonu, odebraniem kodu itd. Konto Facebookowe było też spięte z kontem Instagramowym, choć ten ostatni był używany bardzo rzadko.
Dzisiaj, gdy Pan X po błogim świątecznym lenistwie i 2 dokładkach serniczka, postanowił zabrać się do pracy i uruchomić Messengera, okazało się, że został wylogowany. Kolejne próby wejścia nie przynosiły żadnego rezultatu. X więc wpadł w panikę, że pokręcił coś z hasłem. Standard.
Pan X, po krótkim drążeniu tematu, odkrył że:
- Po wpisaniu numeru telefonu: nie było konta powiązanego z numerem.
- Po wpisaniu adresu e-mail: nie było konta powiązanego z adresem e-mail.
- Ale po podaniu imienia i nazwiska: konto nagle się znajdowało.
Dodatkowo, przy próbie zalogowania Pan X dostawał informację o adresie e-mail powiązanym z kontem. I zdecydowanie nie był to e-mail Pana X.
Próby skorzystania z: https://www.facebook.com/login/identify kończyły się na przekierowaniu do trefnego adresu e-mail. I tak w koło Macieju. Wynikało z tego, że ktoś zmienił powiązany z kontem adres e-mail i numer telefonu. Co ciekawe w profilu widnieje „nowy” adres e-mail: xxxxx@hotmail.com
Kolejnym krokiem było zajrzenie na maila, na którym znajdowało się multum informacji o zmianie facebookowego hasła. Ale oczywiście niewiele to dało.
Trochę lepiej poszło z Instagramem, który, co prawda, też nie rozpoznawał e-maila, ale na szczęście rozpoznał numer telefonu. Za pomocą opcji „odzyskiwania hasła” udało się wejść na konto, na którym widoczne były logowania z dziwnych części kraju. Konto zostało zablokowane i po sprawie.
Wracając do Facebooka. Po godzinnym miotaniu się zostało już tylko centrum pomocy: https://www.facebook.com/help/1216349518398524/?helpref=hc_global_nav, które twierdzi, że: „Uwaga: jeśli zmienił się adres e-mail związany z Twoim kontem na Facebooku, możesz cofnąć tę zmianę. Kiedy zmienia się adres e-mail, wysyłamy wiadomość na poprzednie konto e-mail wraz ze specjalnym linkiem. Kliknij ten link, aby cofnąć zmianę adresu e-mail i zabezpieczyć konto.”
Brzmi to bardzo logicznie, tyle że w skrzynce e-mailowej NIE BYŁO żadnego e-maila od Facebooka o zmianie adresu e-mail. Wyłącznie informacje o zmianach hasła. Skończyło się na napisaniu do pomocy technicznej, poinformowaniu wszystkich znajomych o problemie i czekaniu. Oraz założeniu nowego konta. W tym przypadku strata była niewielka.
Co i dlaczego wyciekło?
Cóż. Wyciekły dane pół miliarda użytkowników Facebooka, w tym około 2,7 miliona użytkowników z Polski. Dane te zawierają m.in. niektóre informacje tu piszącej oraz Marka Zuckerberga. Jak szaleć, to szaleć. I to w dobrym towarzystwie.
Jednak nie są to dane bardzo wrażliwe, ponieważ obejmują:
- numer telefonu, który znajduje się w każdym rekordzie danych,
- ID użytkownika,
- imię i nazwisko,
- lokalizację występującą dosyć często,
- oraz e-mail, który pojawia się dosyć rzadko.
Należy jednak się spodziewać, że z powyższych informacji ochoczo skorzystają autorzy spamu oraz telemarketerzy. Istnieje też niemałe ryzyko, że osoby, których dane znajdują się w pliku staną się w najbliższych dniach ofiarami ataków phishingowych* lub ich dane zostaną użyte w atakach DDoS**.
Czytaj też: Podglądają nas w sypialni i ogrodzie. Nieświadomie im na to pozwalamy. Jak się bronić?
Doświadczył tego Pan X. Jego dostawca usług mailowych poinformował go, że zablokował możliwość wysyłania wiadomości ze względu na dużą ilość spamu i przesłał w powiadomieniach treść maila, który zawierał tylko jakieś linki i teksty po angielsku. Niby nic ciekawego, ale czyste złoto z punktu widzenia osoby stojącej za atakiem DDoS.
Do przejęcia danych wykorzystano błąd Facebooka załatany w 2019 roku (przypominamy, że baza dostępna była w sieci już od jakiegoś czasu). Jednak, jak pisze Niebezpiecznik, błąd ten mógł polegać na wyłączeniu przez Facebook mechanizmu znajdowania użytkownika po numerze telefonu.
Jak sprawdzić czy wyciek obejmuje moje dane?
Wystarczy wejść na stronę haveibeenpwned i podać e-mail lub numer telefonu (w zapisie międzynarodowym: +48XXXXXXXXX).
Trzeba też oddać sprawiedliwość autorom serwisu haveibeenpwned, ponieważ uruchomili usługę wyszukiwania po numerze telefonu w ciągu kilku dni i to głównie na potrzeby wycieku danych z Facebooka.
Czytaj też: Prywatność w sieci: jak ją chronić przed hakerami, szpiegami i… rządem?
Jak zabezpieczyć fejsowe/instagramowe konto?
Oczywiście, dla wielu osób wyciek numeru telefonu i e-maila nie będzie stanowił problemu. Jednak inni mogą nie życzyć sobie upublicznienia swoich danych mając świadomość, że może wiązać się to z mnóstwem niechcianych e-maili lub telefonów z ofertą sprzedaży kompletu garnków.
Ponadto, całkiem spora liczba użytkowników wykorzystuje te same nazwy użytkownika i hasła w wielu innych kontach internetowych (poważny błąd!). Dlatego wpływ wycieku danych z Facebooka może być całkiem poważny, ponieważ dane te mogą zostać wykorzystane w innych cyberatakach.
Dane uwierzytelniające do kont w mediach społecznościowych mogą zostać użyte do przejęcia istotnych, z punktu widzenia użytkownika, kont, takich jak poczta e-mail, co w połączeniu z numerem telefonu może zagrozić już np. środkom przechowywanym na koncie PayPal lub – za pośrednictwem tego konta – kontom bankowym.
Dlatego, w celu ochrony naszych kont online, dosyć istotne jest stosowanie uwierzytelniania wieloskładnikowego i korzystanie z menedżera haseł (o czym piszemy tutaj).
Jednak, jedynym rozwiązaniem zapewniającym stuprocentową ochronę jest klucz sprzętowy U2F. Co prawda klucz kosztuje od 150 do 300 złotych, ale cóż, bezpieczeństwo podobno nie ma ceny.
Czytaj też: Zarządzanie hasłami dla opornych. Jak zabezpieczyć je przed złodziejami?
* atak phishingowy: metoda oszustwa, w której cyberprzestępca podszywa się pod inną osobę w celu wyłudzenia poufnych informacji, zainfekowania komputera lub nakłonienia ofiary do określonych działań.
** atak DDoS: Atak skierowany przeciwko systemowi komputerowemu lub usłudze sieciowej, mający na celu zajęcie wszystkich dostępnych zasobów i uniemożliwienie funkcjonowania systemu lub usługi.
Zdjęcie tytułowe Pete Linforth, Pixabay
0 komentarzy
ZALOGUJ SIĘ I ZOSTAW KOMENTARZ
