Jako pierwszy wyciek danych z Facebooka zauważył Alon Gal z firmy Hudson Rock, zajmującej się cyberbezpieczeństwem. Szybko okazało się, że w udostępnionej online bazie danych znalazły się loginy ponad pół miliarda użytkowników Facebooka, ich imiona i nazwiska, daty urodzenia i numery telefonów.
Informacje te, dostępne były za darmo i krążyć miały m.in. po forach hakerskich. Wśród poszkodowanych znaleźli się unijni politycy, w tym komisarz UE ds. sprawiedliwości Didier Reynders i premier Luksemburga Xavier Bettel. W sieci upublicznione zostały ich prywatne numery telefonów. Ofiarą wycieku miał paść także Ulrich Kelber, generalny niemiecki inspektor ochrony danych osobowych.
Przekaż 1% na pomoc dzieciom - darmowy program TUTAJ
Najbardziej poszkodowani Włosi
Do sieci wypłynęły dane ponad 35 i pół miliona użytkowników Facebooka z Włoch, na drugim miejscu znaleźli się Francuzi (19,8 mln), Brytyjczycy (11,5 mln), Hiszpanie (ponad 10 mln) i Niemcy (6 mln). Wśród pokrzywdzonych jest 2,5 mln internautów z Polski.
Śledztwo w sprawie wycieku danych rozpoczął już z ramienia UE irlandzki urząd ds. ochrony danych, który przyznał, że nie został o wycieku poinformowany przez Facebooka. Tymczasem, zgodnie z zapisami unijnego rozporządzenia o ochronie danych (RODO) w przypadku dużego wycieku danych lub naruszenia prywatności, firmy mają obowiązek poinformować o tym odpowiednie organy w ciągu 72 godz. Śledztwo z własnej inicjatywy wszczęły także włoskie władze.
Facebook tłumaczy, że to co się stało jest pokłosiem wycieku danych z serwisu trzy lata temu. Koncern zapewnia, że naprawił usterkę i uszczelnił system jeszcze w 2019 r., zaś kwietniowe wydarzenia nie są rezultatem ataku hakerskiego, tylko prawdopodobnie wynikiem nielegalnego "web scrapingu", czyli pozyskiwania danych bezpośrednio ze stron internetowych.
- Uważamy, że dane, o których mowa, zostały pobrane z Facebooka jeszcze przed wrześniem 2019 r. z publicznych profili naszych użytkowników - napisał na blogu firmy Mike Clark, dyrektor Facebooka ds. zarządzania produktem.
Urzędów i organizacji ochrony danych te tłumaczenia jednak nie przekonują.
Gigantyczny pozew
Irlandzka organizacja na rzecz praw cyfrowych (DRI) poinformowała, że zamierza pozwać Facebooka i domagać się zadośćuczynienia dla pokrzywdzonych. Zapowiada też, że szykowany przeciwko koncernowi pozew zbiorowy będzie pierwszym z wielu, jaki DRI planuje wytoczyć firmom technologicznym naruszającym prawo Unii i największym tego typu pozwem przeciwko Facebookowi w Europie.
- Facebook nie tylko od samego początku nie wdrożył narzędzi do ochrony danych i prywatności użytkowników, ale także nie powiadomił o wycieku ani poszkodowanych, ani urzędów ochrony danych do czego, zgodnie z przepisami RODO, był zobowiązany - napisała w oświadczeniu organizacja.
DRI zaapelowało do wszystkich obywateli UE, których dane zostały upublicznione w sieci o to, żeby dołączali do postępowania.
- Wzywamy mieszkańców Unii, żeby się do nas przyłączyli i podjęli działania żądając od Facebooka rekompensaty finansowej. Zmuszanie firm takich jak Facebook do płacenia użytkownikom, których prawo do prywatności naruszyli, jest najskuteczniejszym sposobem nacisku i może mieć realny wpływ na zmianę polityki dużych koncernów technologicznych. Perspektywa pozwów zbiorowych będzie dla nich głównym bodźcem do działania, zmusi ich do przestrzegania prawa i zaprzestania traktowania danych użytkowników jako towaru - mówi dr TJ McIntyre z zarządu DRI.
Pozew zostanie złożony w sądzie w Irlandii w imieniu tysięcy poszkodowanych obywateli UE. Zgodnie z przepisami RODO osoby, których prawo do prywatności zostało złamane mogą domagać się od sprawcy tego naruszenia odszkodowania. Według DRI poszkodowani mogą liczyć na rekompensatę finansową rzędu od 300 do nawet 12 tys. euro.
Własną listę poszkodowanych tworzy również niemiecka organizacja ochrony danych Europaeische Gesellschaft fuer Datenschutz.
Sprawdź swój numer
To, czy informacje zostały upublicznione można łatwo sprawdzić na stronie www.haveibeenpwned.com. Wystarczy wpisać swój numer telefonu lub adres mailowy, wyświetlą się wówczas wszystkie przypadki, także wcześniejsze, kiedy dane użytkownika pojawiły się online. Tę samą stronę zarekomendowały swoim pracownikom także instytucje unijne.
Eksperci ostrzegają, że użytkownicy, zwłaszcza ci, których numery telefonów trafiły do sieci, mogą paść ofiarą różnego rodzaju cyberataków, w tym tzw. smishingu, którego celem jest wyłudzenie danych użytkowników za pomocą zawirusowanych wiadomości sms. Inną oznaką aktywności hakerów może być także nagła utrata dostępu do usług operatora sieci komórkowej. Żeby się zabezpieczyć, specjaliści proponują zmianę haseł na trudniejsze oraz zastosowanie podwójnego uwierzytelniania przy logowaniu się do usług online, czyli dodatkowego potwierdzenia swojej tożsamości np. kodem.
Krótko po wycieku danych w Facebooka, do sieci trafiły dane ponad 500 mln użytkowników LinkedIn, w tym również dane osobowe, adresy mailowe i numery telefonów. Kilka dni później wyciekły dane użytkowników platformy Clubhouse.
Jowita Kiwnik Pargana, Redakcja Polska Deutsche Welle
