Sreda, 7. 4. 2021, 19.59
3 leta, 6 mesecev
Tu je ukradenih 110 tisoč slovenskih telefonskih številk: tudi vaša?
Če vas skrbi, da ste med 110.177 slovenskimi uporabniki družbenega omrežja Facebook, katerih telefonske številke so bile pretekli konec tedna javno objavljene v besedilni datoteki Slovenia.txt, lahko to zdaj preverite. Strokovnjak za informacijsko varnost Troy Hunt, ki upravlja znano spletno stran za obveščanje žrtev hekerskih vdorov Have I Been Pwned, je tej po velikem zanimanju uporabnikov Facebooka namreč dodal možnost preverjanja ukradenih telefonskih številk. Na spletno stran je naložil tudi telefonske številke slovenskih uporabnikov.
Datoteka Slovenia.txt je med velikonočnimi prazniki med slovenskimi uporabniki Facebooka dvignila precej prahu, saj vsebuje osebne podatke (približno) vsakega desetega uporabnika in s tem nekaj manj kot vsakega dvajsetega Slovenca. Sprva smo sicer poročali, da je bilo slovenskih uporabnikov, ki so bili žrtve zlorabe, dvakrat toliko, a se je kasneje izkazalo, da okrog polovica vseh profilov, naštetih v besedilu Slovenia.txt, pripada državljanom Kosova.
Video: Planet TV
Daleč najbolj sporno je po mnenju strokovnjakov za informacijsko varnost dejstvo, da je v dokumentu ob imenih in priimkih ter drugih osebnih podatkih uporabnikov črno na belem zapisanih 110.177 slovenskih telefonskih številk.
V podatkovni bazi Slovenia.txt so tudi vnosi z imeni nekaterih znanih Slovencev, kot je minister za obrambo Matej Tonin.
Gre pravzaprav za javno dostopni imenik, v katerem so se številke Slovencev (in pol milijarde uporabnikov iz drugih držav) znašle brez njihovega privoljenja, akterji z nečednimi nameni pa ga lahko zlorabijo za celo vrsto kaznivih dejanj, ki segajo od lažnega predstavljanja, nadležnih klicev in drugih goljufij do ciljanih kibernetskih napadov na točno določene osebe.
Incident s pobeglimi podatki o 533 milijonih uporabnikov v EU že preiskuje irski regulator za varnost osebnih podatkov (DPC oziroma Data Protection Commission). Irski zato, ker ima Facebook v Evropski uniji sedež prav na Irskem. Kraja podatkov se je sicer zgodila, še preden je v EU začela veljati nova ureditev o varstvu osebnih podatkov (GDPR).
Kako izvemo, ali smo se znašli na seznamu žrtev tega kolosalnega hekerskega vdora v Facebook, ki se je sicer zgodil že leta 2019, a so nepridipravi podatke javno objavili šele pretekli konec tedna?
Najlažji način je preverba na spletni strani Have I Been Pwned. Gre za portal, na katerem ukradene podatkovne baze, ki nastajajo s hekerskimi napadi na znana podjetja in spletne strani, zbira strokovnjak za informacijsko varnost Troy Hunt, nekdanji uslužbenec Microsofta.
Pri vpisovanju e-poštnih naslovov ali telefonskih številk v spletno stran Have I Been Pwned se marsikateremu uporabniku poraja vprašanje, ali svojih osebnih podatkov Troyu Huntu s tem morda ne ponudi na pladnju. Gre za povsem legitimno vprašanje, toda spletna stran Have I Beed Pwned načeloma velja za zaupanja vredno, uživa pa tudi podporo širše skupnosti strokovnjakov za informacijsko varnost. Troy Hunt, ustanovitelj spletne strani, za zdaj tudi še ni ponudil razloga, da bi kdorkoli podvomil v njegove namene, infrastruktura spletne strani pa bo kmalu postala tudi odprtokodna, kar pomeni, da bo vsak lahko videl, kaj se dogaja v ozadju.
Hunt je na Have I Been Pwned ta teden dodal tudi vse telefonske številke, ki so jih Facebooku izmaknili hekerji. Uporabnik, ki ga zanima, ali se je znašel med žrtvami hekerskega vdora, lahko v polje na spletni strani vpiše svojo telefonsko številko (v mednarodni obliki 38631999999, če je vaša telefonska številka 031 999 999, na primer).
Če je bila uporabnikova telefonska številka vključena v dokument Slovenia.txt, se bo zaslon obarval rdeče, v nasprotnem primeru pa zeleno.
Ena od telefonskih številk iz datoteke Slovenia.txt, ki smo jih preverili na spletni strani Have I Beed Pwned.
Kako oziroma ali sploh ukrepati?
Glede na to, da samo s telefonsko številko morebitni napadalci, ki bi želeli vdreti v vaš uporabniški račun na Facebooku, ne morejo storiti kaj dosti, je najboljši način za izogibanje morebitnim zlorabam v prvi vrsti pozorno spremljanje poskusov goljufij, kot so klici z neznanih številk iz tujine ali pa prejemanje sporočil SMS, ki vas pozivajo, da nanje odgovorite z DA.
Najzanesljivejši način za izboljšanje osebne varnosti bi bila v tem primeru zamenjava telefonske številke, ki jo povezujemo z uporabniškim računom na Facebooku, a je to lažje reči kot storiti. Digitalna identiteta uporabnikov je namreč vse pogosteje vezana tudi na njihove telefonske številke in ne zgolj e-poštne naslove, težko pa si je predstavljati, da bo nekdo posebej za Facebook zaradi hekerskega vdora uporabljal še eno dodatno telefonsko številko ali pa na drugo številko prenesel vse svoje uporabniške račune.
Med uporabniki, katerih osebni podatki so bili po hekerskem vdoru javno objavljeni, je bil tudi ustanovitelj Facebooka Mark Zuckerberg. Njegova telefonska številka je sicer razkrila zelo zanimivo informacijo: Zuckerberg za zasebno komunikacijo uporablja aplikacijo Signal, ki je neposreden tekmec Facebookovemu WhatsAppu oziroma velja še za bolj zanesljivega od njega.
Facebook v izjavi za javnost medtem miri, da se je zloraba njihove infrastrukture, ki je napadalcem omogočila krajo osebnih podatkov kar 533 milijonov uporabnikov, zgodila sredi leta 2019 in da je ranljivost odpravljena. Toda gre za izjavo, ki večine uporabnikov najverjetneje ne bo pomirila. Koliko vas je v zadnjih dveh letih namreč zamenjalo e-poštni naslov ali telefonsko številko, kraj bivanja ali rojstni datum?
Preberite tudi:
7