Mnohé pozorovatele už to patrně ani příliš nepřekvapí, ale Facebook řeší další problém s únikem citlivých dat svých uživatelů. Jeden z útoků na největší sociální síť světa se odehrál už před dvěma lety, ale až nyní se dostala data více než půl miliardy uživatelů včetně telefonních číslech na veřejnost. Je mezi nimi i více než milion českých účtů. Únik připomíná, že by měli uživatelé co nejvíce dbát na maximální zabezpečení svých účtů.

Se zprávou o úniku osobních dat celkem 533 milionů uživatelů Facebooku přišel už o víkendu magazín Business Insider. Jedná se zhruba o pětinu všech uživatelů sociální sítě, přičemž veškerá data se objevila na jednom z veřejně přístupných hackerských fórech. Magazín The Record přitom vyzkoumal, že se únik týká uživatelů z celého světa, konkrétně 106 zemí.

Největší počet účtů, které se staly v roce 2019 terčem jednoho z útoků, pochází z Egypta (přes 44 milionů), v závěsu jsou Tunisko (přes 39 milionů), Itálie (přes 35 milionů) a Spojené státy (přes 32 milionů). V rámci půlmiliardového balíku uniklých citlivých dat se ale nachází také přesně 1 375 988 účtů z Česka.

Databáze obsahuje data, která uživatelé vyplňovali ve svých profilech, včetně například e-mailových účtů či lokalit, ale především telefonní čísla všech uživatelů. Právě telefonní číslo přitom obvykle nebývá veřejně dostupné, ovšem v rámci nejnovějšího veřejného úniku došlo k prozrazení i těch čísel, které měli uživatelé na Facebooku skryté.

Facebook se k celé události po několika dnech spekulací oficiálně vyjádřil až v úterý. Ředitel produktového managementu Mike Clark uvedl, že hackeři se k inkriminovaným datům nedostali nabouráním se do systémů Facebooku, ale napadením nástroje pro importování kontaktů, díky němuž mohli lidé snadněji nalézt své přátele. Útok se odehrál v září 2019, přičemž Facebook v témže roce bezpečnostní díru zalepil.

Foto: Viktor Hanáček

Facebooku unikla citlivá data více než půl miliardy uživatelů

„Zatímco zranitelnost a zmíněná krádež se nyní mohou zdát jako ‚staré zprávy‘, protože proběhly téměř před dvěma lety, aktuální vývoj znamená, že uživatelé Facebooku, jejichž data byla v roce 2019 odcizena, jsou nyní kvůli úniku vystaveni většímu riziku a měli by nyní podniknout kroky k lepší ochraně před takovými činy,“ upozornil v komentáři Christopher Budd, odborník na online hrozby v Avastu.

Zejména skutečnost, že součástí úniku jsou i telefonní čísla jednotlivých uživatelů, zvyšuje obavy bezpečnostních expertů. Pokud ho totiž útočníci dokáží spojit s e-mailovou adresou, mohou díky tomu obejít bezpečnostní krok při přihlašování, který vyžaduje opsání SMS kódu, a to pomocí tzv. SIM swappingu.

„Facebook neinformoval uživatele, jejichž data byla odcizena, a neexistuje jednoduchý a bezpečný způsob, jak zjistit, zda jste byli zasaženi. Z tohoto důvodu, pokud jste v roce 2019 měli účet na Facebooku, byste měli předpokládat, že vaše data byla odcizena, a podniknout kroky k lepší ochraně,“ píše bezpečnostní odborník z Avastu.

Jelikož se únik týká téměř 1,4 milionu českých účtů, jde o zhruba o čtvrtinu všech lidí, kteří v České republice Facebook používají. Oficiálně ověřit, zda jste byli součástí zmíněného útoku, skutečně nejde, nicméně uniklá databáze byla nahrána na známý web have i been pwned?, kde si můžete vložením svého telefonního čísla (v mezinárodním formátu) ověřit, zda skutečně uniklo.

Ať už se ale váš účet terčem útočníků stal, či nikoliv, rozhodně je dobré zvýšit zabezpečení svého přihlášení. Pokud používáte pro přístup na Facebook pouze heslo, doporučujeme aktivovat dvoufaktorové ověření, kdy musíte při přihlašování na neznámém zařízení zadávat také číselný kód, který vám vygeneruje některá z příslušných aplikací. Vzhledem k úniku telefonních čísel není bezpečným řešením zasílání kódu přes SMS.

„Přechod na ověřovací aplikace je v bezpečnostní komunitě stále více doporučovanou praxí, protože útočníci našli způsoby, jak účinně překonat SMS kódy, takže jejich útoky jsou stále jednodušší a levnější. V této chvíli jde skutečně jen o to, kdy, nikoliv zda, se lidé přesunou od SMS kódů k ověřovacím aplikacím,“ je přesvědčen Christopher Budd.

Podle bezpečnostního odborníka z Avastu by měl být nejnovější únik dat z Facebooku dostatečnou motivací pro mnoho lidí, aby takový krok učinili co nejdříve. A neplatí to samozřejmě jen pro účty na Facebooku. Zapnout si dvoufaktorové ověřování pomocí ověřovacích aplikací (ať už jde o aplikace od Microsoftu, Googlu či třeba 1Password) je doporučeno všude, kde je to možné.