Facebook ostatnio zarzekał się, że jeśli chodzi o prywatność użytkowników, stanie się on wzorem do naśladowania dla całego biznesu technologicznego. Deklaracje to jedno, a praktyka to drugie. Jak zwykle nie mogło obejść się bez afery. W tym tygodniu do Sieci wyciekła ogromna baza numerów telefonów użytkowników portalu. Znajdowały się one na niechronionym serwerze, ale po zgłoszeniu tego Facebook szybko wyłączył bazę. Problem w tym, że nic w Internecie nie ginie.
Wspomniana baza zawierała 419 mln numerów telefonów, w tym 210 mln unikalnych. Należały one do użytkowników z USA, UK i Wietnamu, co zwłaszcza w tym drugim przypadku wydaje się jawnym pogwałceniem zasad RODO (GDPR). Facebook poinformował, że baza nie jest już dostępna w Internecie, ale dzień po tym ogłoszeniu badacz zabezpieczeń z UK natrafił na kolejną bazę, zawierającą bardzo podobne informacje. Elliot Murray, CEO WebProtect, ogłosił swoje znalezisko na portalu CNET i ustalił, że druga baza danych również zawiera prawdziwe numery telefonów użytkowników Facebooka. Dodaje on, że baza tych rozmiarów jest trudna do zdobycia, ale prawie na pewno to te same dane, które wyciekły wcześniej. Facebook nie skomentował jeszcze tego drugiego znaleziska.
Pierwsza baza numerów została odkryta na niezabezpieczonym serwerze chmurowym we środę. Była ona dostępna publicznie, a numery telefonów można było połączyć z unikalnymi identyfikatorami, a w niektórych przypadkach nawet z dokładnymi nazwami użytkowników. Facebook wyłączył do niej dostęp i stwierdził, że nie wykrył żadnych przypadków przejęcia odnotowanych w niej kont. Gigant social media ujawnił, że baza danych z numerami telefonów mogła być zdobyta przed wprowadzeniem zmian w zasadach firmy w 2018 roku.
Incydent ten można wpisać na listę "serii niefortunnych przypadków", które przydarzyły się Facebookowi, Instagramowi i WhatsAppowi. Największą aferą była oczywiście ta z Cambridge Analytica w tle. W tym roku natomiast wyciekły dane 49 mln użytkowników Instagrama, a w WhatsAppie wykryto lukę umożliwiającą hakerom uzyskanie dostępu do telefonów użytkowników. Zwieńczeniem tych afer miała być rekordowa kara w wysokości 5 miliardów dolarów za wprowadzanie użytkowników w błąd, jednak najwyraźniej na niej się nie skończy.
Trzeba jeszcze zaznaczyć, że nie znaleziono na razie dowodów, by w bazie znajdowały się numery użytkowników z Polski. Z drugiej strony nie ma gwarancji, że w przyszłości nasze dane, które podaliśmy Facebookowi, nie wyciekną. Ironią losu jest, że korporacja z takimi zasobami nie potrafi zabezpieczyć i upilnować wrażliwych danych — zwłaszcza że w tym temacie reakcje ze strony władz potrafią być bardzo surowe. Aż strach pomyśleć, jak to wygląda u mniejszych dostawców, którzy nie mają wiedzy lub środków, by utrzymywać zgodność z RODO.
341f31d.png)