2019 nyarán mi is foglalkoztunk a Facebook már akkor is sokadik adatbiztonságot érintő fiaskójával. A két és fél évvel ezelőtti eset azonban nagyságrendjében kitűnt a többi hasonló ügy közül, mivel elképesztő mennyiségű felhasználói adat került illetéktelen kezekbe. Akkor még 420 milliós tételről szóltak a hírek, de később kiderült, hogy összességében 533 millió fiókhoz tartozó adatrekord-tengerről van szó.

A többek között telefonszámokat, e-mail-címeket, születési adatokat tartalmazó csomag több mint 104 országból jött össze. Az USA-ban például több mint 32 millió, az Egyesült Királyságban pedig 11,5 millió ember érintett az ügyben. Az interneten közzétett listák tanúsága szerint itthon valamivel több mint 377 ezer honfitársunk kerülhetett kellemetlen helyzetbe. (Saját adataink ellenőrzésére egyébként egy dedikált oldal, a Have I Been Zucked is rendelkezésre áll.)

In early 2020 a vulnerability that enabled seeing the phone number linked to every Facebook account was exploited, creating a database containing the information 533m users across all countries.

It was severely under-reported and today the database became much more worrisome 1/2 pic.twitter.com/ryQ5HuF1Cm

— Alon Gal (Under the Breach) (@UnderTheBreach) January 14, 2021

A kiberbűnözők által használt csatornákon az eltelt idő alatt folyamatosan árulták a több mint 70 gigabájton terpeszkedő adatbázist, a hírek szerint egyre kedvezőbb feltételekkel. A közelmúltban azonban jelentős változás állt be a "piaci árral" kapcsolatban. Kiderült ugyanis, hogy most már akár ingyen is hozzá lehet jutni a csomaghoz. Ehhez csak szépen kell kérni azt egy bizonyos telegramos fiók gazdájától.

A Facebook a maga részéről köszönte szépen, de nem akarja leporolni a történet aktáját. A cég alapítójának, Mark Zuckerbergnek a szóvivője a sajtómegkeresésekre csak annyit reagált, hogy ezt az ügyet már 2019-ben jelentették és meg is oldották azzal, hogy a lopáshoz használt sérülékenységet javították. És egyébként is, többéves adatokról van szó.

A szóvivő azonban arra nem tért ki, hogy például egy születési dátum és név esetében milyen relevanciával bír az azóta eltelt idő. Mint ahogy az sem világos, miért ne lehetne feltételezni, hogy az incidensben érintett felhasználók elsöprő többsége még mindig ugyanazt a telefonszámot használja, mint akkoriban.

Akasztják a hóhért a cipész cipőjében

A történetnek azonban több pikáns mellékszála is akad. Egyrészt kiderült, hogy az 533 millió között van maga Zuckerberg is. A Facebook mindenható urának adataira egy biztonsági szakértő bukkant, aki azt ajánlotta a hivatalos reakcióra váró újságíróknak, hogy inkább csörögjék fel közvetlenül.

Ám a történetnek ezzel nincs vége, mivel a nyilvánosságra került adatokból az is kiderült, hogy Zuckerberg a Signal alkalmazást használja. Mint Dave Walker a Twiteren írta, Zuckerberg olyannyira tiszteletben tartja saját személyes adatainak biztonságát, hogy egy olyan end-to-end titkosítást biztosító szolgáltatást használ, ami nem a Facebook tulajdonában van.

A téma már csak azért is nagyon kellemetlen a Facebooknak, mivel a szintén a cégcsoporthoz tartozó WhatsApp felhasználási feltételeinek tervezett módosítása miatt óriási felzúdulás támadt az év elején. Sokan a "lábukkal szavaztak" és átnyergeltek más üzenetküldőkre, például a Signal alkalmazására. Az ellenállás hatására ugyan a közösségi polip kicsit meghátrált, de a tervek szerint májusban tényleg élesedik a már korábban tervezett lényegi változás, ami sokkal könnyebbé tenné a felhasználói adatok felhasználását a vállalatcsoporton belül.

A Signal persze azonnal lecsapta a magas labdát, és egy pikirt twitteres üzenetben az írták: a határidő közeledtével Mark jó példával jár elöl.

With the May 15th WhatsApp Terms of Service acceptance deadline fast approaching, Mark leads by example:https://t.co/Mt5YksaAxL

— Signal (@signalapp) April 6, 2021