A Facebook számára az elmúlt két év különösen sok problémát jelentett annak köszönhetően, hogy a vállalat túl lazán bánt az adatokkal. És bár mostanra szigorított a felhasználási feltételeken a Facebook a saját API-ja esetén, a múlt a mai napig kísérti.

Az idei évben egyszer 540 millió felhasználói adatára bukkantak rá egy Amazon felhős tárhelyen, majd 219 millió regisztráltnak bizonyos adatai voltak egyszerűen hozzáférhetőek. Most pedig 267 millió fiókhoz köthető érzékeny adat látott napvilágot az interneten. A legfrissebb ügyről a Comparitech biztonsági cég számolt be Bob Diachenko elemző munkája nyomán.

A biztonsági szakértő, Diachenko arról számolt be, hogy egy Elasticsearch nevű szerveren egyszerűen böngészhetően elérhető 267 millió felhasználó mindenféle adata. A felfedezett tartalom jellemzően a Facebookon használt személyazonosítóból, felhasználói névből, és telefonszámból állt. Nem túl sok információ ez, de a nevek és a telefonszámok párosa már bőven ad lehetőséget a visszaélések elkövetésére.

Azt nem lehet teljes bizonyossággal tudni, hogy milyen forrásból kerültek fel az internetre az adatok. Nagy valószínűséggel Vietnam a forrás, és egy vagy több korábbi adatgyűjtés eredményéről beszélhetünk. Az Elasticsearch egy népszerű vállalati szerver, és az adatokat vélhetően egy kaliforniai adatközvetítő tehette elérhetővé. Az ilyen cégek azért dolgoznak, hogy minél több felhasználói adatot gyűjtsenek össze a különböző oldalakról, így a Githubról, a Twitterről, a LinkedInről és persze egyebek mellett a Facebookról.

A több mint negyed milliárd felhasználót érintő adatbázis korábbi ügyekből jöhetett össze, amikben fejlesztők olyan alkalmazásokat hoztak létre, melyek kijátszották a Facebook API-ját, esetleg más illegális módszerrel kaparták össze az információkat. Minél előbb el kellett volna tüntetni ezeket az adatokat az internetről, ez nem kérdés, mégsem így történt.

Először december 4-én bukkant fel az adatbázis, Bob Diachenko december 12-én értesült róla, és azonnal jelezte ezt a tárolásra használt szerver üzemeltetőjének, de csak december 19-én lettek az adatok elérhetetlenné téve. Szóval több mint két hétig lényegében bárki hozzáférhetett ezekhez, és persze el is menthette az információkat.

Az egészen pontosan 267 140 436 fiókot érintő ügynél az adatok begyűjtése valószínűleg még az előtt történt, hogy a Facebook jelentős változásokat eszközölt volna az API-jánál az ilyen esetek megelőzésére. Ma már nem lehet elérni az adatgyűjtésekkel a felhasználók telefonszámát. (Persze arra is van némi esély, hogy fertőzött programokkal gyűjtötték be az adatokat.) Arról nem esett szó, hogy jelentett-e bárki bármilyen visszaélést, ami ehhez az adatcsomaghoz lenne köthető.

A mostani eset alapján arra is lehet esély, hogy a továbbiakban is lesznek még ilyen adatszivárgások, hiába keményített be a Facebook. Megeshet, hogy vannak még mindig olyan adatbázisok, amik hónapokkal, esetleg évekkel korábban álltak össze, csak a mai napig még felfedetlenül maradtak. Reményeink szerint nem lesz már több ilyen eset, de ha mégis, akkor bízunk benne, hogy a mostaninál gyorsabban fognak reagálni az érintettek.