Satojen miljoonien Facebook-käyttäjien puhelinnumerot lojuivat suojaamattomina verkossa

Facebook on jälleen uutissa huonojen digiturvakäytäntöjen vuoksi. Tällä kertaa verkosta löydettiin 419 miljoonan Facebook-käyttäjän puhelinnumerot. Numerot olivat palvelimella, jota ei ollut suojattu mitenkään. Numerojen mukana oli käyttäjän yksilöivä Facebook ID, jonka avulla voi päätellä käyttäjän henkilöllisyyden.

Facebook on aiemmin esimerkiksi vaatinut käyttäjää täyttämään puhelinnumeron halutessasi käyttää kaksivaiheista tunnistautumista (two-factor authentication). Puhelinnumeroa ei ole kuitenkaan saanutkaan lisättyä vain tähän käyttöön, vaan sitä on kuitenkin hyödynnettyä käyttäjän löytämiseen hauissa, mainosten kohdistamiseen, jne.

Facebookin käsittelemä tietomäärä on niin valtavaa, että heiltä odottaisi ensiluokkaista ymmärrystä tietosuojasta ja tietoturvasta ja korostunutta panostusta näihin asioihin. Jatkuvat negatiiviset uutiset teemassa kuitenkin tuntuvat huutavat täysin toista.

Tietokanta salaamattomana ja suojaamattomana verkossa

Kyseessä on ollut joko törkeä tiedottomuus, liian monimutkaiseksi rakennettu himmeli tai yleinen digiturvatyön ongelma, eli vastuun putoaminen ihmisten väliin selkeän suunnitelman puuttuessa.

Asianmukaisten pääsyoikeuksien huolehtimisen pitäisi olla ensimmäinen asia, joka katsotaan kuntoon jokaista tietokantaa perustettaessa ja tarkistetaan säännöllisesti.

Facebook selitti, että vaan 200 miljoonaa uniikkia käyttäjää ja vanhojakinhan nämä vielä ovat!

Selitykset ontuvat jälleen kerran. 200 miljoonaa on valtava määrä ja puhelinnumerot ovat tietoja, jotka harvemmin nykyään ihmisilä vaihtuvat. Vanhakin numero on todennäköisesti arvokas huijarille.

Puhelinnumerot nyt huijareiden käytössä - mitä odottaa?

• Spam-viestintä, jotka johtavat phishing-sivustoille tai jopa haittaohjelmiin
• Huijauspuhelut, joissa esitetään luotettua organisaatio, esimerkiksi puhelinoperaattoria, ja ongitaan luottamuksellisia tietoja
• Kuuluisuuksille (tai muille arvokkaille kohteille) hakkeri voi nähdä vähän lisävaivaa ja yrittää hyödyntää paikkaamattomia haavoittuvuuksia puhelimella ja syöttää esim. vakoiluohjelman.
• Mobiilioperaattori voidaan yrittää huijata antamaan pääsy numeroon SIM Swap -hyökkäyksellä. Tämän avulla voidaan resetoida salasanoja, jotka ovat verkkopalveluissa yhteydessä puhelinnumeroon.

Eli pelkästä puhelinnumerosta on hyötyä huijarille. Satojen miljoonien numeroiden tietokannasta puolestaan on paljon hyötyä huijareille.

Julkaisetko oman numeron verkossa?

Anna toki mennä, monellehan se on hyödyllistä ja jopa välttämätöntä vaikkapa asiakkaiden palvelemiseksi. Tiedosta kuitenkin nämä yllä luetellut riskit, jos näin toimit.