Business Insider v článku 533 million Facebook users‘ phone numbers and personal data have been leaked online přinesl informace o databázi s informacemi o uživatelích Facebooku, která je volně dostupná v hackerském fóru. V oznámení sice korektně uvádí, že jde o data z roku 2019, ale přesto záležitost podává jako únik, hovoří o hackerech a média bez přemýšlení kopírují původní článek, aniž by si ověřila fakta.

Předmětné údaje o více než 500 milionech uživatelů Facebooku se poprvé objevily v roce 2019 v několika menších sadách. V průběhu dalších let se je „vlastníci“ pokoušeli opakovaně prodávat, ale nevypadá to, že by se jim dařilo. Odpovídalo tomu i postupné snižování ceny.

S ohledem na to, jak k informacím přišli, je navíc dost pravděpodobné, že jich mají podstatně víc. Nebo, což je také pravděpodobně, existuje více „vlastníků“, kteří mají různé sady dat.

Co se vlastně stalo v roce 2019 a 2018

Facebook před rokem 2019 poskytoval pomůcku pro vyhledávání přátel, kteří mají účet na Facebooku. Podobně jako na dalších sociálních sítích tehdy stačilo do vyhledávání zadat e-mail nebo telefonní číslo. A podobně jako na dalších sociálních sítích nebyla funkce nijak chráněna proti strojovému využívání. Řada subjektů toho začala využívat pro sběr veřejně dostupných údajů o uživatelích (tzv. scrapování).

Už v roce 2019 se objevily informace o údajích 267 milionech uživatelů a později dokonce o datech 419 milionech uživatelů, která byla veřejně dostupná. Už ale poté, co Facebook znemožnil využití výše popsané pomůcky a navíc zamezil vyhledávat profily pomocí telefonních čísel uživatelů. Ta se totiž dala prostě zkoušet postupně jedno po druhém – což přesně řada aktérů dělala.

V roce 2019 se objevila také „další“ data 540 milionů uživatelů a opět šlo o stejný způsob: scraping dat, jejich konsolidaci a využití. A už tehdy nejspíš šlo o data až rok stará. V aktuálním „úniku“ jde podle obsahu i podle vyjádření Facebooku stále o stejné údaje.

V dubnu 2018 Zuckerberg oznámil, že většina dat 2,2 miliardy uživatelů byla nejspíš kompromitována. Právě tady je prapůvodce dnešní paniky a aféry s 533 miliony údajů. Následkem těchto zjištění Facebook zamezil většině způsobů, kterými se desítky (a možná i stovky) subjektů dostávaly k (veřejně dostupným) informacím uživatelů.

Ke skutečné a plné nápravě ale došlo až v srpnu 2019. Chvíli předtím, v červenci 2019, dostal Facebook od americké FTC pokutu 5 miliard dolarů právě za tento přístup k informacím o uživatelích.

Připomeňme také, že ještě před tímto děním Facebook řešil skandál s ještě větším „únikem“ informaci. Firmě Cambridge Analytica a desítkám dalších subjektů poskytoval data v daleko větším měřítku a rozsahu. Řada z těchto subjektů má získané údaje dodnes a vlastně je i dost otázkou, kam se vlastně právě data, která nashromáždili v Cambridge Analytica, poděla. Podle šéfa Facebooku Marka Zuckerberga se tehdy výzkumníci mimochodem měli dostat pouze k údajům o 87 milionech uživatelů. Ve světle dalšího dění se tomu nicméně nedá věřit.

O co jde v roce 2021

V dubnu 2021 si můžete stáhnout data o 533 až 554 milionech uživatelů. Jsou volně dostupná, ale jsou to stále data, která byla nasbírána někdy v roce 2018 (či dokonce dříve) až 2019 přes pomůcky a další způsoby, které Facebook volně umožňoval a které neošetřil proti strojovému zneužívání.

Informace obsahují telefonní čísla, e-mailové adresy (těch je ale pouze několik milionů, tedy nepatrný zlomek, e-maily jsou navíc velmi často ve formátu @facebook.com), jména a příjmení, adresy profilů a tím i identifikátory uživatele, pohlaví, místo, odkud uživatel pochází, data narození a některé další informace. Nutno opět zdůraznit, že vždy jde o informace, které v roce 2018 či 2019 bylo možné o uživatelích bez problémů získat.

Nejde tedy o hack, nejde ani o únik. Jde o nezodpovědnost Facebooku, který v té době neřešil možné využití (zneužití) pomůcek (API) a problémem se začal zabývat až poté, co se na něj přišlo a stal se z něj rozsáhlý skandál.

Data jsou pochopitelně několik let stará, ale není vhodné to zlehčovat. U řady uživatelů mohou být stála platná a stále existují způsoby, jak je využít či zneužít – phishing, sociální inženýrství, profilace (telefonní čísla jsou u všech účtů). A stále není jasné, kolik informací o dalších uživatelích ještě vlastník těchto (či další vlastníci) vlastně má k dispozici.

Jak se můžete bránit

Bránit se nemůžete nijak a reálně není ani moc proti čemu. V datech je mimochodem i telefonní číslo Marka Zuckerberga, tedy pokud budeme brát v úvahu, že je pravé a že to je snad opravdu jeho osobní číslo (málo pravděpodobné). Jsou tam samozřejmě i údaje o několika milionech uživatelů z České republiky – může to být ale jen tak zhruba třetina až polovina tehdejšího počtu uživatelů Facebooku v Česku.

Zjistit, zda jsou v databázi vaše data, je obtížné. Služba HaveIBeenPwned sice doplnila kompletní data, ale umožňuje vyhledávat jenom podle e-mailu a těch je v datech velmi málo (pouze 2 529 621). Zakladatel služby Troy Hunt prozatím zvažuje, jestli umožní hledat i podle telefonního čísla, což by byla jedna z mála možností jak reálně něco ověřit.

Vyhledávání podle Facebook ID k dispozici také není, byť na Telegramu existuje (existoval) bot, kde to můžete udělat – ale musíte zaplatit za dotaz. Zmíněný bot navíc fungoval už v lednu 2021 a už v té době se mluvilo o tom, že pracuje právě s daty z roku 2021.

Poučení

Poučení je několik. To první je, že média neověřují informace, nedokáží si dohledat starší informace a ani je správně spojit. Spokojí se s tím, že ocitují jeden zdroj (Business Insider), který se navíc rozhodl celou „kauzu“ maximálně vytěžit a cíleně pokračuje ve zveřejňování dalších a dalších vhodně dávkovaných informací tak, aby to vydrželo co nejdéle.

Druhé poučení je letité a univerzálně platné. Cokoliv nahrajete kamkoliv na internet se stává veřejným a i když máte v moment nahrání pocit či příslib soukromí, je to vždy jenom zdání. Internet rovná se veřejný prostor. Takže pokud například nechcete, aby Facebook (či kdokoliv jiný) poskytl či zpřístupnil vaše telefonní číslo prakticky komukoliv, jedinou obranou je to telefonní číslo Facebooku nedávat.

Třetí poučení je, že pokud nějaká data někde jsou a „uniknou“, zůstanou dostupná jednou provždy a neexistuje způsob, jak je smazat, zrušit či zabránit jejich šíření.

Poslední poučení platí nejenom pro Facebook a je tak trochu učebnicovým příkladem. Neschopnost, nezodpovědnost či čistě zištné účely budou, co se týče ignorování bezpečnosti, ochrany soukromí a kvality naprogramování, vždy převládat. A protože „soukromí“ vašich příspěvků a informací na Facebooku je dáno kvalitou softwaru a jeho funkčností, nikdy nemůžete věřit, že vám je Facebook zaručí.

A ani pokuty v miliardách dolarů na výše zmíněných věcech nic nezmění.