sunnuntai 4. huhtikuuta 2021

Maailman suurin puhelinluettelo - Facebookin tuore tietovuoto

Eilen 3.4.2021 joku vuoti Facebookilta pari vuotta sitten kaapatut käyttäjänimet ja puhelinnumerot verkkoon valtavana kokoelmana, jossa on yhteensä 533 miljoonan ihmisen tietoja. Suomen listassa on yhteensä 1 381 569 nimeä. Jostain syystä listan lopussa on kuitenkin suuri joukko Arabiemiraattien kansalaisia ja heidän tietojaan, joten suomalaisten numeroiden osuudeksi jää 1 214 441.

Kyseessä ei ole tavanomainen tietomurto, sillä tiedosto ei ole käyttäjätietokanta. Pikemminkin tiedot on kerätty koneellisesti jonkin porsaanreiän tai haavoittuvuuden kautta. Kaikista henkilöistä on puhelinnumero, Facebookin käyttäjänumero (joka on samalla hänen FB-sivunsa osoite) sekä nimi. Useimmista on sukupuoli (664 794 male, 544 908 female); joistakin lisäksi koti- ja syntymäkaupunki,  parisuhdestatus (Married, Single, Divorced, In a relationship ym), työnantaja (yrityksen/organisaation nimi) sekä syntymäaika. Sähköpostiosoitteita on 11 537 suomalaisen kohdalla.

Yksi rivi tiedostosta.

Joillakin tiedoissa näkyy vuosiluku (kuten itselläni 1987), joten sen täytyy olla valmistumisvuosi. Sukunimen ääkköset ovat UTF-muodossa, joten ne näkyvät Windowsin komentotulkin ikkunassa väärin.

Tiedot on kasattu jo 2019 ja niitä on myyty pimeässä verkossa. Tapaus uutisoitiin jo tuolloin. Voi olla, että saamasi huijauspuhelut ovat tulleet juuri tämän tietovuodon perusteella.

Facebook on itse vähätellyt tapausta, tietenkin. Mikään ei poista sitä vastuuttomuutta ja huolimattomuutta, jolla yritys on henkilötietoihin suhtautunut. Tämäkin vuoto on tapahtunut yli vuosi GDPR:n voimaantulon jälkeen, joten Facebookin olisi pitänyt tiedottaa asiasta paremmin. Olisi ihme, jos tästä ei tule firmalle isoja sakkoja.

Mutta minkälainen riski tämä on? Yleensä tietoturvatapauksia paisutellaan ja uhkia liioitellaan, varmuuden vuoksi. Kaikkia kerrannaisvaikutuksia on vaikea hahmottaa, mutta yritetään arvioida asiaa realistisesti. 

Joukossa ei ole kotiosoitteita eikä salasanoja, henkilötunnuksista tms. puhumattakaan. Tämä vähentää riskejä. Sähköpostiosoite on useimmilla Gmail-tyyppinen ilmaisposti, mitä yleisesti käytetään some-palveluissa. Se vähentää esimerkiksi Office 365-hyökkäysten vaaraa.

Merkittävintä tässä vuodossa on tietojen määrä. Yli puoli miljardia tietuetta on valtava määrä, vaikkei ennätys olekaan. Kyse on kuin maailmaan suurimmasta puhelinluettelosta, jossa on 106 maan ihmisen tietoja. Mitä vaaraa on puhelinluettelosta? Ennen niitä jaettiin koteihin painettuina. Mutta silloin luettelot olivat kansallisia eikä niiden tietoja voinut hyödyntää koneellisesti. Helsingin Puhelimen luettelo ei takuulla kiinnostanut aasialaisia tai afrikkalaisia rikollisia. 

Netin ansiosta nyt on toisin. Puhelinnumeroita voi käyttää huijauspuheluihin ja valheellisten sms-viestien lähettämiseen ("Olet saanut paketin...") vaikka toiselta puolelta maailmaa. Suurin vahinko on niillä, joiden puhelinnumero on salainen. Sen vuotaminen voi tietää monenlaisia harmeja ja pakottaa vaihtamaan numeroa.

Ehkä jotain nyt vuotaneita tietoja voi yhdistellä aiemmin vuotaneisiin tietoihin, mutta siinä pelkkä nimi on huono yhdistelyavain, eivätkä roistot halua tehdä käsityötä. Tältä osin pidän riskiä pienenä.

Listassa on henkilötietoja, jotka ao. henkilön profiilissa eivät näy ainakaan julkisesti (ei-kavereille). Kyse ei siis ole vain Facebookin julkisten tietojen vuotamisesta, vaan myös luottamukselliseksi tarkoitettuja tietoja on mukana. Erään kunnallisvaalien ehdokkaan sähköpostiosoite on listalla seta.fi-loppuinen, mikä saattaa olla henkilön itsensä mielestä arkaluontoinen tieto. 

On luultavaa, että lista alkaa levitä laajasti myös Suomen sisällä. Varsinkin puhelinmyyjien luulisi olevan siitä kovin kiinnostuneita, vaikka listan käyttö laitonta olisikin. Tämä voi näkyä jatkossa markkinointipuheluiden määrän kasvuna. 

Mitä siis nyt kannattaa tehdä?

Listassa ei ole läheskään kaikkia Suomen Facebook-käyttäjiä. Jos on käynyt vähänkin tuuri, omia tietoja ei listalta löydy. Vuodettuja tietoja on 1,2 miljoonaa, suomalaisia Facebook-käyttäjiä 2,7 miljoonaa -- on siis todennäköisempää, että juuri sinun tietojasi EI ole vuotanut kuin että niin on käynyt (vaikka Ylen uutisen otsikko sanoo toisin).

Netissä on palveluita, joista voi tarkistaa, onko itse ollut mukana tietovuodoissa (kuten Haveibeenpwned). Tällaisia palveluita on myös Suomessa, esimerkiksi Badrap.io ja F-Secure Identity theft checker. Niissä avaimena on aina sähköpostiosoite, joten tässä tapauksessa vain runsaat 11 500 suomalaista saa tiedon asiasta. Tietääkseni mikään tarkistuspalvelu ei vielä toimi puhelinnumeron perusteella, mutta nyt olisi hyvä syy lisätä se hakutekijäksi.

Niille, joiden tiedot ovat mukana, en voi antaa muuta neuvoa kuin odottaa ja seurata tilannetta. Tietoja ei saa pois. Facebookin salasanaa ei kuitenkaan tarvitse tämän vuoksi lähteä vaihtamaan. Facebookista eroamista jokainen lienee harkinnut jo aiemmin, eri syistä. Palvelusta on kuitenkin myös paljon hyötyä, joten itse en kehota ketään kategorisesti eroamaan somepalveluista.

Valitettavasti tämä on muistutus myös siitä, miten suojattomia olemme edelleen, tiukasta GDPR-tietosuojasta huolimatta. Vahinkoja sattuu edelleen eikä edes miljardisakkojen uhka saa yrityksiä toimimaan virheettömästi.

Ainoa varma tapa suojata omia tietojaan on olla luovuttamatta niitä. 

PS. Nyt illalla on avautunut suomalainen sivu, jolta voi tarkistaa, onko oma puhelinnumero vuodettujen joukossa: https://vuoto.fi/. Tein muutamia kokeiluita ja se näytti antavan oikeita tuloksia. 

8 kommenttia:

J. Jörgensen kirjoitti...

Tuo viimeinen huomautus ainoasta toimivasta tavasta suojata tietojaan, on a) naulankantaan, ja b) koukutettaville näköjään mahdotonta noudattaa. Tavan käyttäjät eivät ilmeisesti vieläkään hahmota sitä, että juuri he ovat tietoineen sitä todella arvokasta kauppatavaraa, kiitti vaan v...sti Zuckerberg! Sitähän kuvittelisi, että lärvikirja yrittäisi pikkuisen paremmin suojata omaisuuttaan varkauksilta, mutta mitämaks, bisnes luistaa ja varaa olisi ilmeisesti yllin kyllin jopa maksaa jotain korvauksia käyttäjille, jos joku nyt viitsisi viedä asian käräjille.

Nimetön kirjoitti...

Monellakaan ei ole mitään järkeä antaa sivuostoille edes oikeaa nimeään. Riippuen tietenkin kuinka tärkeä on esiintyä omalla nimellään. Jos ei tuo ei ole välttämätöntä, niin ihan hyvin voi keksiä itselleen feikkinimen. Ja tuollaisille sivuostoille voi pitää toista luuria. Itselläni on vanha Nokian 1101, joten tuota puhelinta saavat pommittaa ihan miten haluavat. Mutta kuten mainitsin, joillekin sivustolla esiintyminen omalla nimellään ja oikeilla tiedoilla on välttämätöntä.

Markus kirjoitti...

Itselläni on myös taktiikkana käyttää prepaid-numeroa (lataan aina vuoden välein sen yhden kympin). Minun pääpuhelinnumero on ollut yhtäjaksoisessa käytössä 20-vuotta jo. Silti kuitenkaan en huku näihin puheluihin. Numeroa ei löytynyt tuolta vuoto-sivustolta. Numero ei ole salainen mutta kaikkialla epämääräisessä käytän sitä prepaid-numeroa. Sen käyttö tuli paljon helpommaksi iphonen tuplasim-toiminnon myötä (päänumero on esim ja prepaid-korttipaikassa). Hauskaa kyllä, ei siihen toissijaiseen salaiseen prepaid-numeroonkaan mitään häiriöitä ole tullut. Se numero on kuitenkin siitä hyvä, että sen saa sammutettua koska tahansa luurin asetusvalikosta.

Facebookkeja sun muita paholaisen palveluita en ole koskaan käyttänyt. Näissähän ei tarvitse olla neropatti päätelläkseen, että bisneksen alttarille uhrataan ihan kaikki. Myös se tietoturva. Edes sakot eivät näitä tuhatmiljardi-firmoja hetkauta. Nekin on upotettu taseeseen "vakiokuluiksi". Ainoa millä tällaiset palvelut saadaan kuolemaan on yksinkertaisesti se, ettei ihmiset liittyisi joka hiton kotkotukseen mukaan.

Ja ihmiskunta oli mukamas jokin älykäs. Suomessakin on käytössä kekkosenaikaiset henkilötunnistusjärjestelmät. Teknologian mallimaa.

Aikojen kuluttua kun koko henkilön identifiointi ja tallennus uudistetaan (ei tapahdu varmaan mun elinaikana) nykyaikaiseksi, ei tällaisia tietoturva-uutisia tarvitse enää miettiä. Niillä ei tee mitään. Nyt kuitenkaan maailma (eikä ainakaan suomi) ei ole valmis "facebookin" kaltaisille firmoille. Tai no edes terapiapalveluita tarjoavalle firmalle :D

Nimetön kirjoitti...

Noihin kannattaa antaa niin vähän oikeata tietoa kuin mahdollista. Esim. syntymäaika muutama päivä väärin ja samoin osoitetiedot. Jos haluaa antaa valmistumistiedot niin siihenkin edellinen tai seuraava vuosi. Puhelinnumeron osalta edellä kerrottu prepaid vinkki on myös hyvä.

Moni julkaisee videoita ajattelematta ollenkaan että niitä ei koskaan saa internetistä pois vaikka kuinka poistaisi ne omalta tililtään. Ja samoin moni ajattelee että "eihän näitä näe kuin kaverit" mutta samaan aikaan hyväksyy kavereikseen kenet tahansa jolta sattuu kaveripyynnön saamaan.

Unknown kirjoitti...

En ole enää ollut facebookissa muutamaan vuoteen, mutta onko mahdollista että minun (ja muidenkin palvelun jättäneet) vanhat tiedot voisivat vuotaa. Epäilen tämän tyyppiset somet eivät poista itse mitään.

Nimetön kirjoitti...

Ei puhelinumerot ainakaan noissa Microsoft-tuki huijauksissa ole pelkästään tuota facebook murrosta koska minä en ole ikinä käyttänyt facebookia.

Toiseksi samaa mieltä aikaisempien kommentoijien kanssa että miksi laittaa OIKEITA TIETOJA. Minulla on uniikki nimi eli toista ei suomesta löydy joten täytyy olla tosi varovainen verrattuna heihin joilla on kymmenniä täysnimi kaimoja.

Nimetön kirjoitti...

Facebookissa on alusta saakka ollut käytössä sähköpostiosoite, jota en käytä mihinkään muuhun. Puhelinnumeroa en ole sinne luovuttanut. Ei siksi että olisin paranoidi, vaan uumoilin jotain tälläistä tapahtuvan.

Pelkkä nimi ja syntymäaika ei onneksi maailmaa kaada, ei vaikka koko maailma sen saisi tietääkin.

Nimetön kirjoitti...

Ainoa varma tapa suojata omia tietojaan on olla luovuttamatta niitä.

Tuon hinta vain on aika monen uralle ja sosiaaliselle elämälle aika kova. Ainakin yliopistoaloilla vaikuttaa olevan normi, että työpaikka vaatii vähintään nimen, naamakuvan ja parin yhteystiedon näyttämisen työnantajan nettisivuilla.

Muutenkin tarkka (ja ymmärrettävä) tietosuojasta huolehtiminen on tehty aika mahdottomaksi. Kokemus omasta elämästä: intin autokurssilla tiedotuskanava oli WhatsApp-ryhmä eikä keneltäkään edes kysytty, käyttääkö WhatsAppia. Mahtaako pääesikunta olla moisesta tietoinen? Tuo voisikin ihan oikeasti jenkkitiedustelua kiinnostaa.