Näin Facebook-tietovuoto tapahtui – myös Facebookin perustaja Zuckerberg oli vuodon uhrina

Facebook-tietovuoto pysyy edelleen otsikoissa.

Jo viime viikon lopulla kerrottiin 533 miljoonan Facebook-käyttäjän tietoja ilmestyneen verkkoon helposti ilmaiseksi ladattavaksi. Mukana vuodetuissa tiedoissa 1 214 441 suomalaista puhelinnumeroa ja niihin linkitetyt muut käyttäjätiedot.

Myös itse Facebook on lopulta ennättänyt kommentoimaan laajemmin uutta tietopakettia julkaisemallaan blogimerkinnällä.

Mielenkiintoisesti samalla Facebook tuli ikään kuin ohimennen paljastaneeksi, ettei nyt verkossa jaettavassa tietopaketissa ole kyse suoraan mistään aiemmasta yksittäisestä vuodosta. Tähän asiaan kiinnitti huomiota muun muassa WIRED.

”Kuten Facebook lopulta selitti taustakommenteissa WIREDille ja tiistain blogimerkinnässään, hiljattain julkaistu 533 miljoonan tiedon kokoelma on täysin erillinen datapaketti, jonka hyökkääjät loivat hyödyntäen heikkoutta Facebookin yhteystietojen tuontityökalussa”, WIRED kirjoittaa.

Käytännössä samoja tietoja on ollut liikkeellä jo aiemmin, mutta ei aivan tällaisena pakettina – eikä näin helposti ladattavissa.

”Metodeista, joilla tämä datapaketti hankittiin, raportoitiin aiemmin vuonna 2019”, Facebook on kertonut tuotehallinnan johtajan Mike Clarkin nimissä julkaistussa blogimerkinnässä. ”Uskomme kyseessä olevien tietojen olevan kaavittu (”scraped”) ihmisten Facebook-profiileista pahantahtoisten tahojen toimesta käyttäen yhteystietojen tuojaamme ennen syyskuuta 2019.”

Edes Facebookilla ei siis ole tarkkaa kuvaa, milloin tiedot on tarkalleen kerätty. Ainoastaan tiedossa on, minkä jälkeen tietojen kerääminen ei ole enää ollut mahdollista samalla tavalla.

Myös suomalaisen tietoturvayhtiön F-Securen tutkimusjohtaja Mikko Hyppönen on ottanut kantaa Facebook-tietovuotoon Twitterissä.

”Facebook vakuuttaa, että on tärkeää, ettei puhelinnumeroasi varastettu Facebookilta hakkeroimalla. Se varastettiin kaapimalla”, Hyppönen toteaa suomeksi käännettynä twiitissään.

Käytännössä Facebook-tietovuoto tapahtui, kun joku keksi Facebookin yhteystietojen tuontiin ja näiden tietojen perusteella kaveriehdotuksia tehneen toiminnon kertovan tietoja käyttäjistä, kun sille annetaan puhelinnumeroita. Toiminnolle esitettiin jollakin automatisoidulla tavalla jotakuinkin kaikki mahdolliset puhelinnumerot maailmassa, ja näin saatiin kasattua nyt verkossa liikkuva yli 533 miljoonan Facebook-käyttäjän tietopaketti.

Tietopaketissa mukana olevia tietoja ovat esimerkiksi käyttäjän puhelinnumero, nimi, linkki Facebook-profiiliin, sukupuoli, kotikaupunki ja tieto parisuhteesta. Lisäksi harvemmista käyttäjistä mukana on myös sähköpostiosoite ja Facebookiin myös itse kirjattuja tietoja työnantajista sekä syntymäajasta.

Tiedoista ainoastaan puhelinnumero on ollut salainen tieto. Muuten osana vuotoa mukana olevat tiedot ovat olleet osana Facebook-profiilia julkisesti esillä olleita tietoja, jos käyttäjä oli tiedot omalta osaltaan julkiseksi asettanut.

F-Securen Hyppönen muistuttaa, että tietovuoto voi olla ikävä joillekin, jotka ovat halunneet pitää oman puhelinnumeronsa salaisena. Näitä voivat olla poliitikot ja julkisuuden henkilöt, tai muuten ihmiset, joita piinaavat erilaiset häiriköt.

Facebook assures us that it’s important that your phone number was not stolen from Facebook by hacking. It was stolen by scraping. https://t.co/yqemhrtdmw

— @mikko (@mikko) April 7, 2021

How was Facebook scraped? Effectively, the attacker created an address book with every phone number on the planet and then asked Facebook if his ’friends’ are on Facebook.

— @mikko (@mikko) April 7, 2021

Mukana tietovuodossa olikin myös puhelinnumerot esimerkiksi Facebookin perustajan ja toimitusjohtajan Mark Zuckerbergin, Yhdysvaltojen liikenneministerin Pete Buttigiegin ja Euroopan unionin oikeusasioista vastaavan komissaarin Didier Reyndersin osalta.

Zuckerbergin paljastuneen puhelinnumeron perusteella on jo myös selvinnyt, että hänellä on tili alusta loppuun -salausta käyttävässä Signal-viestipalvelussa, joka nousi yhdeksi suosituksi vaihtoehdoksi Facebookin omistamalle WhatsAppille tämän kevään käyttöehtojen muutoksesta nousseessa kohussa. Myös Signal itse huomioi uutiset Zuckerbergin puhelinnumeron löytymisestä palvelusta.

With the May 15th WhatsApp Terms of Service acceptance deadline fast approaching, Mark leads by example:https://t.co/Mt5YksaAxL

— Signal (@signalapp) April 6, 2021

Tunnetulla Have I Been Pwned -palvelulla voi tarkistaa, onko oma sähköpostiosoite tai puhelinnumero mukana Facebook-vuodossa. Vaikka yhteensä vuodossa paljastui tietoja yli 533 miljoonasta Facebook-käyttäjätilistä, sähköpostiosoitteita mukana oli vain murto-osassa (2 529 621). Tämä yleinen palvelu kertoo samalla myös, onko sähköpostiosoite ollut mukana muissa vuodoissa ja mitä muita tietoja samalla on voinut paljastua.

Välttämättä mitään suoraa haittaa tietovuodosta ei ole, sillä monien osalta vuotaneet tiedot olisivat pääosin muutenkin saatavilla – ja tietovuoto on tapahtunut tosiaan ensi kerran jo 2019.

Liikenne- ja viestintäviraston Kyberturvallisuuskeskus on kuitenkin muistuttanut, että henkilötietojen vaarantumisen vuoksi tapauksessa on identiteettivarkauden riski, jolta suojautumiseen Kyberturvallisuuskeskus on antanut ohjeita aiemmassa erillisessä artikkelissaan. Identiteettivarkauden riskiä voidaan kuitenkin varsin vähäisenä.

Lisäksi vuotaneita tietoja voidaan käyttää esimerkiksi roskapostikampanjoissa tai tavallista vakuuttavammissa kalasteluyrityksissä, joilla hyökkääjät pyrkisivät esimerkiksi saamaan omaan hallintaansa käyttäjän Facebook-tilin houkuttelemalla tämän kirjautumaan huijaussivun kautta.

Tietovuoto ei sisältänyt maksukortti- tai salasanatietoja, joten suoraa uhkaa näiden tietojen väärinkäytöstä tietovuoto ei aiheuta.

Mainos: Noin 1 600 000 tuotteen hintavertailu ja hintaseuranta - katso Hinta.fistä mistä saat halvimmalla