32 ezer magyar érintett a Facebook-botrányban
A Facebook folyamatosan bizonyítja, hogy még mindig van lejjebb. Több mint másfélszer annyi adathoz fért hozzá a Cambridge Analytica, mint eddig hittük, köztük magyarokéhoz is. Ráadásul meg nem nevezett "támadók" szinte mindenki nyilvános adatlapját letöltötték.
Bevallotta a Facebook, hogy még annál is sokkal nagyobb a probléma, mint amennyi eddig nyilvánosságra került. A cég az újságírókkal telefonos konferenciabeszélgetésen közölte az eddigi vizsgálat eredményét, mely szerint a Cambridge Analytica még 50 milliónál is több, valószínűleg 87 millió felhasználó adatát gyűjtötte be a közösségi oldalon megjelent pszichológiai profilkészítő appon keresztül. A történet viszont még tovább folytatódik, mivel a vállalat a vizsgálat közben azt is feltárta, hogy a közösségi oldal keresőjével és jelszó-visszaállító funkciójával illetéktelen támadók is hozzáfértek az adatokhoz. Tehát már nem csak bizalmi alapon átadott milliós nagyságrendű profiladatról, hanem valódi adatszivárgásról is beszél a vállalat.
Az említett beépített keresőben telefonszám és email cím alapján is lehetett keresni a felhasználókra, amire a Facebook egy "hasznos" és "sokat használt" funkcióként tekintett, bár már egy ideje lekapcsolta. A támadók azonban kihasználták a lehetőséget, és a sötét weben keresztül megszerzett adatokat automatizált számítógépes program segítségével betáplálták a közösségi oldal keresőjébe, hogy aztán letöltsék az így elérhető adatokat. Márpedig a vállalat szerint a legtöbb felhasználó nem kapcsolta ki azt, hogy ebben a keresőben megtalálható legyen - ami egyébként kikapcsolható, de alapértelmezetten be volt állítva mindenkinek.
A Gitlab mint DevSecOps platform (x) Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.
A módszerrel kifejezetten a publikus adatokhoz lehetett hozzájutni, akár például a profilképekhez vagy a születési helyhez. Nagy mennyiségben viszont ez az adat is nagyon sokat érhet, főleg ha a szereplő ezt képes más adatbázisok adataival összevonni - mint ahogy láthattuk a Cambridge Analytica analitika adatalapú pszichológiai módszereiből. Egy másik aspektus szerint pedig önmagában a név, email cím, telefonszám és néhány személyes adat már elegendő lehet a megszemélyesítéshez vagy más kártékony internetes tevékenységekhez - írja a The Washington Post. Egyelőre a Facebook viszont azt nem közölte, hogy ki volt a támadó, hogyan használta az adatokat, vagy egyáltalán pontosan mennyi felhasználót érintett az "adatszivárgás".
Ráadásul a vállalat azt is elejtette, hogy a támadók valószínűleg a jelszó visszaállítási funkciót is kihasználták, amelyen keresztül a felhasználók alapesetben értesítést kérhetnek a saját jelszavukról, ha azt elfelejtették. A szolgáltatáson keresztül szintén nevek, profilképek és az adatlapra mutató hivatkozások szivároghattak. Arról szintén nem lehet tudni, hogy az így szerzett adatokat mire használhatták a támadók. A Facebook nem közölte, hogy ilyen módon például a jelszavak veszélyben lettek volna, ami sokkal nagyobb problémát jelentene.
Több mint 32 ezer magyar érintett
Az adatszivárgás beismerésén kívül a Facebook a Cambridge Analytica botrányra is rátett még egy lapáttal, mikor közölte, hogy az eddig ismert 50 millió profil helyett úgy tűnik, hogy valójában 87 millió felhasználó adataihoz fértek hozzá a pszichografikus elemző adatkutatók. Méghozzá a károsultak közt 70 millió amerikai személy szerepel, de 1 millió brit állampolgárt is érintett az ügy. Szerkesztőségünkkel közölte a vállalat hazai képviselője, hogy a magyar felhasználók közt is vannak érintettek, a cég jelenlegi ismeretei szerint 13 magyar töltött le a CA profilozó alkalmazását, és összesen még további 32 054 profilhoz férhetett hozzá a politikai adatelemző vállalat (minden bizonnyal nem a 13 magyaron keresztül, hanem nemzetközi ismerőseiken át).
A botrányt kirobbantó egykori CA adatkutató Christopher Wylie Twitteren hozzátette, hogy a szóban forgó 87 millió profilnál is többről lehetett szó, de nem közöl pontos számot. Az újságírói híváson egyébként Zuckerberg a CNET kérdésére elmondta, hogy a 87 milliós adatot nem a CA logjaiból tudta a cég kiolvasni, mivel azok nincsenek meg. Hanem az elemzők kiszámolták, hogy az app letöltőinek abban az időben mennyi ismerősük lehetett összesen. Tehát igazából ez sem egy pontos adat, de jobban megközelíti a számot, mint amit korábban az újságírók adtak közre. Eközben a Cambridge Analytica egy közleményben tiltakozott, hogy ennyi adatlaphoz fért volna hozzá, saját bevallásuk szerint 30 millió licencelt adat szerepelt az appfejlesztő céggel kötött szerződésükben, és nem is kaptak ennél többet.
A Facebook ígérete szerint április 9-től fogja értesíteni az ügyben vélhetően érintett felhasználókat. Minden felhasználó az adatlapján belül, a hírfolyam tetején elhelyezett linken nézheti meg, hogy milyen adataihoz férnek hozzá a letöltött alkalmazások, és hogy érintette-e a CA botrányban.
Lesz mivel elszámolni!
Az amerikai, brit és európai uniós hatóságok is nyomozást végeznek a Cambridge Analytica ügyben. Az amerikai kongresszus jövő hétre idézte be Mark Zuckerberget a meghallgatásokra. Sokan azt remélik, hogy a kongresszusi meghallgatás után még tisztább lesz a kép a történtekkel kapcsolatban, és megjelenhetnek friss információk az eddigi kutatásokkal kapcsolatban.
A Facebook a támadásokról szóló hírek mellett folyamatosan igyekszik kommunikálni a felhasználók felé a beállítási felület változását, a szabályzat érthetőségének javítását, a fejlesztők felé pedig a szigorításokat az adatlekérésekkel kapcsolatban, akár Instagramon is, vagy éppen a hirdetőket érintő változásokat.
Egy kapcsolódó közleményben egy sor módosítást jelez előre a vállalat a fejlesztőknek az API-kkal kapcsolatban és összefoglalja az eddigi változásokat. Többek közt az Events API-t használó appok mostantól nem tudják kinyerni a vendéglistát és bejegyzéseket elhelyezni az üzenőfalon, az összes Group API-t igénybe vevő alkalmazásnak jóváhagyást kell majd szereznie a cégtől, továbbá ezt a gyakorlatot folytatja a Facebook Loginnal megszerezhető információkkal kapcsolatban is. Bár az adatok már korábban kiszivárogtak, de Zuckerberg szerint mégis fontos elvégezni az auditot, hogy a jövőben ne történhessenek már újabb szivárgások, adatlopások - válaszolta a konferenciahíváson a Bloomberg újságírójának kérdésére. A most bejelentett korlátozások tehát nem azt jelentik, hogy mindegyiket kihasználták már a fejlesztők, de ennek a lehetőségét is szeretné elkerülni a vállalat.
Összességében a vállalat belátja, hogy eddig a közösségi oldal nem fókuszált eléggé az adatok védelmére, és "nem gondolt át" hogyan használhatják ki mások az eszközöket, akár az álhírekkel, a gyűlöletbeszéddel vagy a választások befolyásolásával kapcsolatban. A közleményben a cég belátja, hogy nem fogta fel a saját felelősségét, amit óriási hibának tart. Jelenleg úgy próbálja menteni a vállalat a helyzetet, hogy átnéz minden szolgáltatást és funkciót adatvédelmi szempontból. Zuckerberg hozzátette, hogy a GDPR-t egy jó és iránymutató szabályozásnak tartja, amit nem csak az európai felhasználókkal kapcsolatban szeretne bevezetni, hanem szélesebb körben. Egyelőre a cég továbbra sem látja úgy, hogy a #deletefacebook megmozdulásnak "jelentős hatása" lenne a felhasználószámra, de még nem lehet tudni, hogy mi történik a mostani bejelentések hatására vagy milyen újabb információ fog még kiderülni.