Irská komise pro ochranu dat (DPC) minulý týden zahájila vyšetřování společnosti Facebook v souvislosti s rozsáhlým únikem dat. Dosavadní důkazy naznačují, že Facebook se mohl dopustit porušení GDPR.

Začátkem dubna se na internetu objevila volně přístupná databáze obsahující osobní údaje 533 milionů uživatelů Facebooku, jako jsou mobilní čísla, facebooková ID, jména, pohlaví, bydliště, vztah, povolání, data narození a e-mailové adresy.

Databázi našel izraelský bezpečnostní expert Alon Gal. Z jeho pozorování vyplývá, že se s údaji v hackerských komunitách obchodovalo a nakládalo již delší období. „Je tomu tak pokaždé, data se prodávají levněji a levněji, dokud neuniknou zdarma,“ řekl Gal v rozhovoru pro BleepingComputer.

Irská komise, hlavní regulátor Facebooku v rámci EU, zahájila vyšetřování společnosti ve středu 14. dubna. Do té doby čekala na více důkazů od Facebooku, který podle ní nebyl v komunikaci aktivní. Po zvážení informací poskytnutých Facebookem dospěla DPC k názoru, že Facebook mohl porušit některá ustanovení nařízení o ochraně osobních údajů (GDPR).

Jak již Irská komise uvedla minulý týden, část objevených údajů pochází z rozsáhlého úniku dat, k němuž došlo ještě před platností GDPR mezi červnem 2017 a dubnem 2018. Zároveň však dodala, že data obsahují i další záznamy, které by mohly pocházet z pozdějšího období.

Mluvčí Facebooku Liz Bourgeoisová navíc uvedla, že bezpečnostní díra byla uzavřena v srpnu 2019, což je více než rok po vstupu nařízení GDPR v platnost. „Jsou to stará data, která byla dříve ohlášena v roce 2019. Tento problém jsme našli a opravili v srpnu 2019,“ napsala na Twitteru Bourgeoisová.

Zákonodárci Evropské unie dohlížející na přípravu nové regulace digitálních aktivit v Evropě chtějí postupovat podobně jako Austrálie, aby přiměli velké technologické firmy platit za zpravodajství.

Zatím není známo, kdy a kolikrát byla bezpečnostní díra zneužita. Mluvčí Evropské komise uvedl, že únik dat „pouze potvrzuje význam GDPR pro ochranu základních práv, zvláště když jde o údaje milionů Evropanů.“

Podle nařízení GDPR musí být oznámeny závažné úniky nebo narušení dat příslušnému regulačnímu orgánu do 72 hodin, jinak firmám hrozí pokuta a jiná donucovací opatření.

Komise dnes zveřejnila hodnotící zprávu k GDPR. Úspěchy jsou velké, ale i po dvou letech je stále co zlepšovat. Problémem jsou rozdíly v implementaci i nedostatek úředníků. A i když Boris Johnson tvrdil opak, nařízení bude muset dodržovat i Británie.

Uniklá data byla veřejná, brání se Facebook. Experti nesouhlasí.

Facebook se ve svém prohlášení brání, že informace v databázi byly ve skutečnosti veřejné. „Je důležité si uvědomit, že za únikem stojí lidé se špatnými úmysly, kteří získali data nikoli ‚hackováním‘ ale ‚scrapingem‘ (získávání veřejných informací z internetu pomocí automatizovaného softwaru – pozn. red) z naší platformy před zářím 2019,“ uvedla společnost.

Experti ale argumenty Facebooku zpochybňují. „Prohlášení Facebooku, že data jsou veřejná, je zavádějící, protože obsahují také telefonní čísla, která v profilu uživatelů nebyla viditelná,“ uvedl belgický etický hacker Inti De Ceukelaire. Takzvaní etičtí hackeři upozorňují na slabiny systémů a pomáhají je opravovat místo jejich zneužívání.

Reportér BuzzFeedu Ryan Mac poukázal na to, že vysvětlení Facebooku je směšné, protože je v potlačování scrapingu nečinný. „Za poslední rok jsem se Facebooku více než desetkrát zeptal, zda podnikne právní kroky proti společnosti Clearview AI za scraping pravděpodobně milionů fotek z Instagramu a Facebooku. Nebyly ale podány žádné soudní žaloby a Facebook se k případu ani nevyjádřil,“ napsal Mac na svém Twitteru.

Jak ironicky poznamenala spisovatelka Sarah Frierová, nabízí se otázka, zda odvolání na scraping celkově vylepšuje obrázek o internetovém gigantu, protože pokud by bylo k získání dat zapotřebí Facebook hacknout, znamenalo by to aspoň, že byl nějak zabezpečen.

Probíhající pandemie naplno odhalila, jak důležitá je efektivní a rychlá reakce na dezinformační kampaně. Česká republika tuto hrozbu dlouhodobě přehlížela. Nyní vidíme výsledky.

Facebook odmítá své uživatele na únik upozornit

Facebook oznámil, že dotčených 533 milionů uživatelů nemá v úmyslu na únik dat upozornit. Ochrana před útoky hackerů je proto na bedrech samotných uživatelů. Uniklé údaje totiž mohou sloužit mimo jiné k spamovým emailům, robocallům, nevyžádané reklamě, phishingu a k jiným manipulacím.

Lidé si mohou zjistit, zda se jejich e-mail nebo telefonní číslo nachází v této nebo jiných uniklých databázích v minulosti například pomocí webu „Have I Been Pwned“.

Odborníci doporučují, aby si všichni uživatelé Facebooku dávali pozor na podivné e-maily nebo texty, které požadují další informace nebo žádají o kliknutí na přiložené odkazy. Dále v rámci „první pomoci“ doporučují změnit si hesla, nepoužívat jednoduché kombinace, použít různá hesla k různým účtům, případně používat správce hesel a vícefázová ověření.

Zdroj: Irská komise vyšetřuje Facebook kvůli úniku dat. Společnost mohla porušit GDPR, uživatele odmítá informovat – EURACTIV.cz