Koliko osebnih podatkov deliš na profilih družbenih omrežij? Ime, lokacijo, starost, poklic, status, profilno sliko? Število informacij, ki jih želimo deliti na spletu, se razlikuje od osebe do osebe. Toda večina ljudi sprejme, da karkoli objavimo na javni profil, postane javna last. Kako bi se počutil, če bi bili vsi tvoji podatki katalogizirani s strani nekega hekerja, vnešeni v tabelo z milijoni stolpci in prodani na spletu zločincu, ki bi plačal največ denarja?
To je prejšnji mesec naredil heker z vzdevkom Tom Liner, ko je za zabavo ustvaril bazo 700 milijonov uporabnikov LinkedIna z vsega sveta, kar prodaja za 5000 dolarjev, piše BBC. Ta incident in drugi podobni primeri so sprožili zavzeto debato o tem, ali bi osnovni podatki, ki jih javno delimo na svojih profilih, morali biti bolje zaščiteni.
Ponujanje podatkov na hekerskih forumih
Primer Toma Linerja je bil objavljen na znanem hekerskem forumu. »Živjo, imam 700 milijonov LinkedIn podatkov,« je napisal. Vključil je link do vzorca podatkov in vabilo drugim hekerjem za zasebno kontaktiranje in pošiljanje ponudbe. Prodaja je razumljivo povzročila nemir v hekerskem svetu, Tom pa podatke prodaja več srečnim strankam za okoli 5000 dolarjev.
Tom ni povedal, kdo so njegove stranke ali zakaj bi hotele to informacije, pravi pa, da se podatke verjetno izrablja za nadaljnje škodljive hekerske kampanje. Novica je razburila tudi svet kibernetske varnosti in zasebnosti in vse več govora je o tem, ali bi morali biti zaskrbljeni o tem trendu zbiranja podatkov.
Pomembno je, da razumemo, da te baze niso ustvarjene z vdorom v serverje ali spletne strani družbenih omrežij. Večinoma so ustvarjene s zbiranjem podatkov iz javnih površin platform, in sicer z uporabo avtomatskih programov, ki jemljejo prosto dostopne podatke o uporabnikih. V teoriji bi večino teh podatkov lahko zbrali s preprostim brskanjem po družbenih omrežjih posameznikov. Seveda pa bi nam to vzelo kar nekaj življenj, da bi lahko zbrali toliko podatkov, kot so jih zmožni hekerji.
Ne gre za osamljen primer
Letos so se zgodili že vsaj trije podobni incidenti. Aprila je heker prodal bazo okoli 500 milijonov profilov iz LinkedIna. V istem tednu je drug heker brezplačno objavil bazo podatkov 1,3 milijona profilov na Clubhousu.v aprilu se je zbralo podatke 533 uporabnikov Facebooka, informacije pa so bile razdeljene na hekerskem forumu s prošnjo za donacije. Heker, odgovoren za ta zadnji »napad«, je Tom Liner.
Novinar BBC-ja je z njim govoril preko aplikacije Telegram. Heker je dejal, da ima službo in se s hekingom ukvarja v prostem času. Dejal je, da je bazo podatkov z LinkedIna ustvaril na skoraj enak način kot bazo podatkov s Facebooka. »Trajalo je več mesecev. Bilo je zelo kompleksno. Moral sem vdreti v API Linkedina. Če naenkrat pošlješ preveč prošenj za podatke o uporabnikih, ti sistem za vedno prepove dostop«.
Odzivi podjetij
Privacy Shark je prvi odkril prodajo baze podatkov in preučil brezplačni vzorec. Odkril je, da vsebuje polna imena, elektronske naslove, podatke o spolu, telefonske številke in podatke o industriji. LinkedIn je potrdil, da baza vključuje podatke, zbrane z njihove platforme, obenem pa tudi podatke iz drugih virov.
Dodajajo: »To ni bila LinkedInova kršitev podatkov in podatki zasebnih uporabnikov niso bili razkriti. Zbiranje podatkov z LinkedIna je kršenje naših pogojev storitve in stalno delamo na zagotavljanju, da je zasebnost naših članov zaščitena«.
Facebook aprilski incident ni vzel resno. Služba odnosov za javnoste je celo po nesreči razkrila, da je njihova strategija »zbiranje podatkov označiti kot širšo težavo industrije in normalizirati dejstvo, da se to pogosto dogaja«.
Kaj se zgodi s temi podatki?
Toda dejstvo, da nekateri hekerji služijo na račun teh baz, sproža skrbi pri strokovnjakih za kibernetsko varnost. Ustanovitelj in izvršni direktor SOS Intelligence Amir Hadžipašić redno pregleduje hekerske forume. Njegova ekipa je analizirala incident z LinkedInom.
Pravi, da večina ljudi ne pričakuje, da so ti podatki dejansko javno dostopni. »Tako veliko uhajanje informacij je zaskrbljujoče, glede na to, da so nekateri podatki – na primer geografske lokacije ali zasebne mobilne številke in spletna pošta – delikatni«.
Tom Liner pravi, da se zaveda, da bo njegova baza najverjetneje uporabljena za zlonamerne napade. Pravi, da ga to sicer moti, vendar še vedno nadaljuje s podobnimi dejanji. Hadžipašić pravi, da bi hekerji, ki kupujejo te podatke, lahko zasnovali hekerske kampanje pomembnim strankam, kot so na primer direktorji firm.
Strokovnjak za kibernetsko varnost Troy Hunt ni tako zaskrbljen glede teh nedavnih dogodkov in pravi, da jih moramo sprejeti kot del naših javnih profilov. »To zagotovo niso kršitve, tukaj ni nobene nejasnosti. Večina teh podatkov je tako ali tako javnih. Vprašati se moramo, koliko teh informacij je javnih zaradi izbire uporabnika in za koliko informacij ne pričakujemo, da so javne dostopne«.
Dejanja gospoda Linerja bi mu zagotovo nakopala tožbo s strani podjetij, ki si lastijo družbena podjetja, in sicer za krajo intelektualne lastnine ali kršitev avtorskih pravic. Verjetno se za svoja dejanja ne bi soočil s polno močjo zakona, če bi ga kdaj razkrili. Vendar ga ne skrbi aretacija, saj pravi, da ga nihče ne more najti.
Urednica revije Študent