W sieci znajdują się linki do pobrania archiwów z danymi o 533 milionach użytkowników, w tym 2,669,381 użytkowników z Polski – informacje o osobach prywatnych niedawno wyciekły do Internetu. Prawdopodobnie dane pochodzą z lat 2019 i wcześniejszych, a więc największe powody do zmartwienia mają użytkownicy Facebooka, którzy założyli konto przed sierpniem 2019 roku.
Pośród informacji, które zostały ujawnione, znajdują się:
- numery telefonów,
- numer identyfikacyjny użytkownika na Facebooku,
- imię i nazwisko,
- podana lokalizacja na profilu,
- data urodzin,
- informacje – w niektórych przypadkach nawet adres e-mail.
Łącznie wyciek zawiera dane o 533 milionach użytkowników:
- 32 miliony z USA,
- 11 milionów z UK,
- 6 milionów z Indii,
- 2,6 miliona z Polski,
- i wiele innych.
Wyciek swoich danych można sprawdzić na popularnej stronie „Have I Been Pwned” poprzez podanie numeru telefonu, którego używa(ło) się na Facebooku w 2019 roku lub wcześniej.
Twoje dane wyciekły? Co możesz zrobić?
Przede wszystkim warto wiedzieć, że przedwczoraj na stronie Urzędu Ochrony Danych Osobowych została opublikowana następująca informacja:
Prezes Urzędu Ochrony Danych Osobowych wystąpił z pismem do władz Facebook Poland. To efekt licznych doniesień na temat wycieku danych osobowych polskich obywateli, użytkowników portalu społecznościowego Facebook.com, jakie miało miejsce na początku kwietnia 2021 roku.
W liście Prezes UODO zwrócił się o podjęcie działań w celu ograniczenia ryzyka wykorzystania danych osobowych objętych naruszeniem poprzez zaoferowanie usługi umożliwiającej wszystkim polskim użytkownikom sprawdzenia, czy naruszenie to ich dotyczy.
Zdaniem Prezesa UODO wyciek danych z portalu Facebook.com ma ogromne zagrożenie dla prywatności wielu osób. Udostępnione dane osobowe mogą zostać wykorzystywane nie tylko w celu rozsyłania spamu czy nieuczciwego prowadzenia telemarketingu, ale także w celach przestępczych. Dlatego też, jak wskazuje Prezes UODO, istotne jest wszechstronne wyjaśnienie okoliczności przedmiotowej sprawy.
Dane, które są dostępne w Internecie, nie są bardzo krytyczne, lecz wycieku nie należy bagatelizować. Większość informacji o użytkownikach jest podana przez nich samych, jawnie na Facebooku (oprócz numeru telefonu i czasami adresu e-mail). Pozostałe dane nadal mogą identyfikować użytkownika z osobna, dlatego może to stanowić podstawię do ubiegania się o swoje prawa w związku z rozporządzeniem o ochronie danych osobowych z 2018 roku (potocznie znane jako RODO).
O komentarz poprosiliśmy Jakuba Betka — prawnika i inspektora danych, właściciela firmy Conexus Law & Consulting.
Przede wszystkim zwróćmy jeszcze raz uwagę na pismo Prezesa Urzędu Ochrony Danych Osobowych, czy ono coś wnosi w tej sprawie?
Administratorem danych, a mówiąc prościej podmiotem, który dysponuje danymi użytkowników z Europy (w zakresie związanych z obsługą serwisu) jest irlandzka spółka Facebook Ireland. Facebook Poland została stworzona w celu sprzedaży reklam na portalu dla polskich firm i nie ma żadnej mocy sprawczej w zakresie zarządzania danymi osobowymi użytkowników portalu. W związku z tym, czy pismo będzie miało znaczenie dla całej sprawy? Nie.
Urząd zwrócił się do Facebook Poland z wnioskiem o stworzenie narzędzia, które pozwoli użytkownikowi portalu sprawdzić, czy wyciek dotyczył również jego danych osobowych. I tutaj mamy kolejną niespodziankę, ponieważ takie narzędzie już istnieje, nie jest co prawda stworzone przez Facebook, ale pod linkiem https://haveibeenpwned.com/ każdy może sprawdzić podając swój adres mailowy lub numer telefonu (uwaga numer należy podać w formacie +48……) czy jego dany wyciekły przy ostatnim incydencie. To potwierdza wskazaną powyżej tezę, o tym, że pismo PUODO nie będzie miało żadnego znaczenia dla sprawy – co więcej nie ma po prostu mocy prawnej.
Jeżeli już wiemy, że nasze dane „brały udział” w wycieku, to przede wszystkim powinniśmy być bardziej wyczuleni na maile i smsy, które będziemy w najbliższym czasie otrzymywali od „administratorów facebooka”. Hackerzy mogą próbować wykorzystać dane z Naszego profilu, aby wysyłając mail przekonać nas, że faktycznie są portalem i na przykład poprosić o potwierdzenie swoich danych poprzez kliknięcie w link w mailu. Co się stanie po kliknięciu w tak przygotowany link? Może dojść do zawirusowania naszego laptopa lub smartfonu a tym samym hacker może mieć już dostęp do naszych danych do logowania do mobilnych aplikacji bankowych.
Jeżeli wskazana powyżej strona poda nam informację, że nasze dane wyciekły, mamy możliwość dochodzenia odszkodowania od portalu – w przypadku mieszkańców Europy, od Facebook Ireland. RODO daje nam możliwość dochodzenia odszkodowania, kiedy ponieśliśmy szkodę majątkową lub niemajątkową w wyniku naruszenia przepisów. W tym przypadku może dojść na pewno do naruszenia szkód niemajątkowych – np. otrzymywanie spamu. RODO nie podaje też żadnych widełek co do wysokości samych odszkodowań. Decyzja zarówno o jego przyznaniu, jak i wysokości leży w gestii sądów.
Jedynym organem, który może poddać kontroli Facebook Ireland jest irlandzki odpowiednik naszego PUODO, który próbował ustalić fakty zaistniałej sytuacji. Prace organu w tej sprawie nadal trwają, ponieważ nie otrzymał żadnej satysfakcjonującej odpowiedzi z Facebook Ireland.
Uwaga na oszustwa związane z wyciekiem!
Co do numerów telefonów – warto już teraz i w najbliższych tygodniach uważać na zwiększoną ilość wiadomości do oszustów, którzy mogą wykorzystać sprofilowaną bazę użytkowników (według danego kraju), by przygotować dla nich dobrze przygotowaną kampanię phishingową. Ponad 2,6 milionów numerów telefonów z Polski to naprawdę duża baza dla oszustów i marketerów.
Uważajcie na podejrzane linki i załączniku w wiadomościach SMS i mailach!
Użytkownicy, którzy założyli konto na Facebooku po roku 2019, tymczasowo są bezpieczni. Tymczasowo, ponieważ jak pokazuje historia Internetu, prędzej czy później kiedyś wszystko staje się jawne.
