Egy biztonsági szekértő a napokban olyan adatbázist talált, amelyben több mint 267 millió Facebook felhasználó adatai figyeltek, ráadásul teljesen nyilvánosan, titkosításmentesen, bárki által hozzáférhető formában. Most épp egy külső fejlesztők által használt interfész lehetett a ludas.
Az adatbázist a Comparitech nevű biztonsági cégnek dolgozó Bob Diachenko fedezte fel, aki először megbizonyosodott arról, hogy valóban tényleg létező Facebook júzerek adatairól van szó. Ezt könnyen meg tudta tenni, hiszen sok tételnél olyan adatokat is talált (például nevet, telefonszámot vagy tartózkodási helyet), amelyekből ez egyértelműen kiderült. Diachenko az adatok elrendezéséből azt is meg tudta állapítani, hogy minden bizonnyal egy API hibája okozhatta a szivárgást: a Facebook által kiadott alkalmazásfejlesztési készlet nem titkosította megfelelően az általa használt adatokat.
Az API-n tátongó lyuk nagyjából két hétig engedett hozzáférést az adatokhoz: december 4-én indexelték az adatbázist, 12-én már egy hackerek által használt fórumra is feltették, Diachenko 14-én fedezte fel, majd rögtön írt egy e-mailt a szervert üzemeltető szolgáltatónak, akik 19-én tették elérhetetlenné. Sajnos még ez is elég sok időt adott ahhoz, hogy illetéktelenek is megtalálják az adatbázist ugyanúgy, mint a szakértő. Bár az itt található adatok nagy része olyan, ami sok profilban eleve nyilvánosan is elérhető szokott lenni, az ilyesmit könnyen fel lehet használni arra, hogy megtévesszék vele a felhasználókat (például fals üzeneteket lehet nekik írni azzal, hogy ők is arról a környékről származnak, esetleg a nevük miatt rokonok lehetnek, majd a bepalizott illetőket könnyen rávehetik bármire).
Az még aggasztóbb, hogy a szakértők szerint egy vietnami bűnszervezet már biztosan lecsapott az adatcsomagra, de az is elképzelhető, hogy ők maguk felelősek az adatszerzésért.
Az ügy nem sokat segít a Facebook amúgy is megtépázott hírnevén. Eleve ott volt a tavalyi Cambridge Analytica botrány, amelynek kapcsán Zuckerberget minden szinten meghurcolták és komolyan felmerültek komoly retorziók lehetőségei is. Egyes részvényesek és politikai résztvevők szerint magát a cégvezetőt kellett volna lemondatni (bár ő jelenleg az általa birtokolt részvény-részesedés miatt elmozdíthatatlan), mások több politikai kontrollt követeltek, vagy épp a vállalat feldarabolását javasolták. Ehhez képest idén áprilisban is találtak teljesen nyilvános webes tárhelyeken 540 milliós adatbázist, novemberben pedig laza 1,2 milliárdos adatszivárgás történt úgynevezett adatkereskedő cégektől. Szóval úgy tűnik, hiába gondolta bárki, hogy a tavalyi botrány után betonbiztossá teszik a Facebook adatvédelmét, ez egyelőre nem igazán sikerült.
Az ilyesféle adatszivárgások elkerülése érdekében egyébként mi magunk is tehetünk valamennyit (és nem csak azt, amit száz százalék, hogy valaki mindjárt bekommentel, miszerint töröljük magunkat). Ha a személyes adataink közül minél több láthatóságát átállítjuk úgy, hogy csak visszaigazolt ismerőseink számára legyen elérhető, máris nem tudnak rólunk adatokat lenyúlni - legalábbis ezzel a módszerrel. A szakértők szerint bőven elég, ha egy név és egy felismerhető profilkép nyilvános (ennyiből ránk találhat az, aki tényleg csak ismerősnek szeretne jelölni), a többit viszont nem érdemes nyíltan hagyni.
