Facebook
Хороший, поганий, злий

Facebook: хороший, поганий, злий 1 (c) Маркош Крижак

На початку квітня Business Insider повідомив, що у Facebook стався масовий витік: дані 533 мільйонів користувачів з усього світу опинилися у відкритому доступі на хакерському форумі: номери телефонів, міста проживання, ім’я та прізвище разом з Facebook ID, локації, а у деяких випадках, адреси електронної пошти.
Після того як про витік стало відомо, у Facebook заявили, що це сталося не через злам соцмережі, а через скрейпінг даних, за допомогою якого можна “витягувати” публічну інформацію користувачів із сайту.
 

Для скрейпінгу використовують програми-утиліти, які завантажують потрібну сторінку, перетворюють на відповідний формат і дозволяють вилучати звідти дані. У цьому “зливі” була публічна інформація з “шапки” профілю, де інформація і так відкрита для кожного, хто зайде на сторінку. Тож у чому проблема?
Насамперед, окрім публічної інформації, до витоку потрапили номери телефонів. Ймовірно, це сталося через функцію імпорту контактів, за допомогою якої можна завантажити свої контакти у Facebook і знайти профілі людей або запросити їх у соцмережу.

У блозі компанії кажуть, що це дані з витоку, про який CNET повідомляли у вересні 2019 року, і що відтоді цю функцію вже обмежили.
Втім, редакторка WIRED з інформаційної безпеки Лілі Ньюман припускає, що витік, на який посилається Facebook у блозі, і витік, про який повідомили в Insider ‒ різні, оскільки у заявах компанії є певні неточності, а інформація про деяких користувачів відрізняється.

У коментарі для NPR представник Facebook сказав, що вони не будуть повідомляти користувачів, чиї дані опинилися у витоці. Так вирішили зокрема через те, що інформація у витоку й так публічна. Не поспішає Facebook звітувати й перед комісією GDPR (у цьому випадку ‒ ірландською, через юрисдикцію “батьківської” компанії Facebook).
Facebook: хороший, поганий, злий 2(c) Маркош Крижак

GDPR

Згідно з вимогами європейського Загального регламенту про захист даних (GDPR), компанії, що обробляють дані резидентів ЄС, повинні повідомляти наглядовий орган про витік не пізніше ніж через 72 години після того як дізналися про нього. Винятком є ситуація, коли він не несе ризику для прав і свобод людини.
Оскільки у витоці є і дані користувачів ЄС, Facebook мав повідомити наглядову комісію ‒ Ірландську комісію захисту даних (DPC), але та заявила, що компанія не надала повну інформацію про витік.
DPC пише, що попередні бази даних, опубліковані у 2018 і 2019 роках, пов’язані зі скрейпінгом, який відбувався з червня 2017 року по квітень 2018 року. Цей інцидент стався через вразливість імпорту контактів, яку компанія усунула. Оскільки це відбувалося до того як GDPR вступив у дію, у Facebook вирішили не повідомляти комісію.

“Видається, що нещодавно опублікована база даних складається з оригінальної бази 2018 року (до GDPR) та додаткових записів з пізнішого періоду”, – заявляють у DPC.
 
Також у Facebook стверджують, що походження цієї бази даних не зовсім зрозуміле, тож ситуація вимагає детальнішого розслідування.
Якщо комісія вирішить, що витік мав серйозні ризики, то може стягнути з компанії штраф до 650 000 доларів ‒ найвищий штраф за порушення pre-GDPR. Таку саму суму Facebook заплатив за витік даних, пов’язаних з Cambridge Analytica. Та якщо будуть застосовані штрафні санкції за порушення безпосередньо GDPR, то компанія буде змушена віддати до 2% свого доходу за попередній фінансовий рік.
Ще один регулятор, перед яким відповідає Facebook ‒ це Федеральна торгова комісія США (FTC). У 2019 році комісія стягнула з компанії штраф у п’ять мільярдів доларів через порушення конфіденційності даних. Чи будуть додаткові штрафи через останній витік ‒ відкрите питання, яке залежить від того, чи знайдуть докази, що у ньому є дані, які зловмисники отримали після 2019 року.
Facebook: хороший, поганий, злий 3(c) Маркош Крижак

Такий поганий Facebook?

Витоки даних призводять і до значних репутаційних втрат. Після скандалу з Cambridge Analytica ринкова вартість Facebook у 2018 році впала на 119 мільярдів доларів. Три мільйони користувачів з Європи видалились із соцмережі, і це спричинило падіння акцій на 19%. Що й казати про судові слухання та посилення регулювання щодо збору даних.
Цікаво, що через кілька днів дуже схожа ситуація сталася у Linkedin. На продаж виставили дані 500 мільйонів користувачів ‒ ID, повні імена, адреси електронної пошти, номери телефонів, стать, назви посад, інформація про робоче місце та, можливо, інші ідентифікаційні дані. Це теж відбулося через скрейпінг. Та і компанія не без “грішка” ‒ у 2012 році у Linkedin хакнули акаунти 6,5 мільйона користувачів, а через чотири роки виявилося, що 100 мільйонів електронних пошт та паролів також “злили” через цей злам.
Але порівняно з Facebook це пройшло майже непомітно. Чому?
Більшість скандалів з Facebook пов’язані з тим, що компанія збирає та купує дуже багато даних і не завжди чесна з користувачами щодо того, які дані вона отримує та у який спосіб.
Реакція суспільства на витоки у Facebook значно сильніша, бо це частково наслідок неспівмірного збору даних, а за обгорткою соціалізації чи турботою про зв’язок користувачів стоїть потреба отримати дані тих, кого немає у соцмережі, та зібрати додаткову інформацію для рекламних алгоритмів.
 
Facebook: хороший, поганий, злий 4(c) Маркош Крижак

Далі – більше?

Це далеко не останній витік даних, про який ви почуєте.
Під час пандемії цифрові загрози поширюються більше та частіше. У березні 2020 року кількість фішингових атак ‒ спроб обманом вкрасти реєстраційні дані користувачів ‒ зросла на 667%, у квітні 2020 ФБР зафіксувало ріст кібератак на 400%. Між січнем і березнем минулого року на 630% збільшилися атаки на хмарні сервіси.
Через пандемію все більше процесів відбувається віддалено: люди працюють дистанційно, більше купують і спілкуються. А туди, де є люди, йдуть шахраї та кіберзлочинці. Через це росте кількість цифрових атак, одним з результатів яких і є витоки даних.

Зазвичай через витоки даних зловмисники намагаються отримати так звані credentials ‒ дані, необхідні для входу в акаунт ‒ тобто електронну пошту та паролі.
Основна ж небезпека від таких витоків даних не лише у тому, що зловмисники можуть отримати їхній пароль від зламаного сервісу, а й в тому, що користувачі часто використовують однакові або схожі паролі на різних сервісах.
Потім їх продають на закритих форумах у даркнеті кіберзлочинцям, недобросовісним компаніям і сервісам тощо. Усі вони можуть використовувати це для абсолютно різних цілей, зокрема для зламів акаунтів або рекламних баз, розсилок комерційного фішингу й інших недобросовісних операцій. Деякі з них перепродають, передають партнерам, дають друзям, і далі дані можуть поширюватися вже безкоштовно.
Бази даних з різних сервісів збирають разом у великі масиви і ділять за різними критеріями, тож часом важко зрозуміти, звідки стався витік.

У січні 2019 року на одному з хакерських форумів австралійський дослідник безпеки Трой Хант знайшов величезну базу з даними понад мільярда користувачів ‒ Collection#1. Найімовірніше, її зібрали з різних джерел – зламів та витоків тисяч різних сайтів та сервісів.
Електронні пошти користувачів із цієї бази Трой додав на свій сайт haveibeenpwned, щоб користувачі могли дізнатися, чи фігурують дані, прив’язані до їхньої пошти, у витоках.
Зараз дедалі більше технологічних компаній повідомляють користувачів, якщо їхні паролі опинилися у витоках даних і радять їх змінити. Наприклад, ще у 2018 Firefox інтегрував Haveibeenpwned у браузер і сповіщає зарєстрованих користувачів, якщо їхні паролі є у витоках.
У 2019 році Google запустив схожу функцію. Тоді за бажанням можна було перевірити усі паролі, збережені в обліковому записі. Минулого року компанія почала перевіряти дані для входу (мейл та паролі, що з ним пов’язані) автоматично, порівнюючи їх з даними у злитих базах.
А після скрейпінгу даних з Facebook Трой додав можливість перевірити дані у зливі за номером телефону.
Чому ж навіть без паролів витоки не дуже бажані? Злиті дані все ще можна використовувати для інших атак. Наприклад, для підбирання пароля, адже користувачі часто використовують персональні дані, коли їх вигадують. Або ж для сервісів, де є “секретні” питання як спосіб скидання пароля.
Facebook: хороший, поганий, злий 5(c) Маркош Крижак


Як захиститися?

Користувач зазвичай не одразу дізнається про витік даних. Здебільшого це стається вже тоді, коли їх знаходять спеціалісти з безпеки, як-от Трой Хант, на закритих форумах чи платформах, або ж коли вони стають дуже поширеними і безкоштовно циркулюють інтернетом. Іноді про це взагалі ніхто не дізнається і не напише.
Витоки даних ‒ це не те, що ми можемо контролювати як користувачі. Навіть зацікавлені компанії не можуть на всі 100% гарантувати безпеку. Вони можуть лише мінімізувати ризики.
Може здатися, що все погано, всі ці безпекові поради не мають сенсу, тому треба тікати з інтернету якнайдалі або просто змиритися, що все буде злито.
Але певний контроль ми таки маємо. Ми можемо мінімізувати наслідки від витоків даних для себе. Тож навіть коли це станеться, зловмисники матимуть набагато менше шансів отримати доступ до акаунтів.


Що робити?

  • Не використовувати однаковий пароль для кількох акаунтів. Витік може статися, наприклад, на сайті кінотеатру, куди ви зареєструвалися не стільки з власної волі, стільки через те, що інакше не можна купити квиток. І там не варто використовувати свій пароль для пошти, соцмереж, банкінгу та інших важливих сервісів. Зламавши слабко захищений сайт кінотеатру, зловмисники отримають доступ не лише до його бази даних, а й до пошти чи соцмереж користувачів, які використовують однакові паролі для цих сервісів.
  • Встановити двофакторну автентифікацію. Навіть якщо зловмисники знатимуть ваш пароль, вони не отримають доступ до акаунту без ще одного коду.

  Є ще безліч порад для захисту акаунту, які можуть допомогти, але поки що ми зупинимось на цих двох. А для тих, хто хоче дізнатися більше, радимо сайт Лабораторії цифрової безпеки з практичними порадами.