Közel 420 millió tételt tartalmazó, teljesen szabadon elérhető adatbáziscsomagra bukkant egy biztonsági kutató. A semmiféle védelemmel nem rendelkező szerveren Facebookon korábban megadott valódi telefonszámok sorakoztak a felhasználó egyedi azonosítójával és sokszor több más egyéb személyes információval körítve.

Nagy fogás

A durva adattengert látva a biztonsági szakértő a TechCrunch-hoz fordult. A lap átnézte az állományt és szúrópróbaszerű ellenőrzésekkel megerősítette azok valódiságát. A több külön csomagban a világ számos pontjáról találtak adatokat facebookos felhasználókról. Az összesítés szerint 133 millió bejegyzés az USA-hoz, 50 millió Vietnámhoz, 18 millió pedig az Egyesült Királysághoz köthető. Magyar érintettségről egyelőre nincs információ.

A telefonszámok mellett a rekordok mindegyikében ott volt a tulajdonoshoz köthető egyedi Facebook-azonosító is. Ez alapján pofonegyszerű megkeresni a konkrét személyt és a telefonszámhoz valódi nevet kötni. Sok esetben persze erre sem volt szükség, mert a bejegyzések némelyike a név mellett az illető nemét, országát is tartalmazták (utóbbit szintén nem nagy trükk visszakövetni a telefonszámból). 

Az adatbázis tulajdonosának kilétét sem a csomagot felfedező biztonsági kutató, sem a TechCrunch nem tudta felderíteni. Mint ahogy az sem teljesen világos, hogy ezeket az adatokat pontosan mikor és főleg milyen célból gyűjtötték egybe. A telefonszámokkal ugyanis egy sor visszaélést és egyéb kétes ügyleteket lehet elkövetni. Például szórhatnak kéretlen reklámüzeneteket, de a szolgáltatók megtévesztésével akár a telefonszám átvétele sem elképzelhetetlen, ami viszont már remek eszköz arra, hogy jelszavakat resetáljon valaki, és így jusson be különböző felhasználói fiókokba.

Most már minden rendben van

A Facebook szóvivőjén keresztül annyit közölt, hogy az adatokat még az előtt gyűjtötték be, mielőtt a cég szigorított a telefonszámokhoz való hozzáféréshez. Ez közvetlen az után történt, hogy felszínre került a Cambridge Analytica-botrány és a Facebook jobbnak látta, ha innentől a felhasználók nem keresgélhetik meg egymást telefonszám alapján. A mostani esetet egyébként meglehetősen egyszerűen intézi el a hivatalos nyilatkozat, miszerint az adatbázis immár nem elérhető, és egyébként sem utal semmi arra, hogy visszaéltek volna velük. Ez a Nincs itt semmi látnivaló!-stílus az esetlegesen következő hatósági vizsgálatoknál persze nem biztos, hogy elegendő lesz.

Nem is indul túl jó pozícióból a közösségi hálózat, hiszen a CA-bortányt követően csak úgy potyogtak kifelé a szekrényből a kisebb-nagyobb adatkezelési csontvázak. Bár az alapító Mark Zuckerberg igyekezett minden ilyen eset után bizonygatni, hogy mennyire azon vannak, hogy az ilyesmi többé ne történjen meg (sőt legutóbb már maga kérte az állami beavatkozást), lényegi intézkedések helyett inkább csak újabb zűrös ügyekről lehetett hallani. Időközben azonban elkezdtek érkezni a cég pénztárcáját terhelő, hol apróbb, hol kifejezetten combos büntetések. Ezek pedig ha lassan is, de elindítottak valamiféle tisztulási folyamatot.