Yli 500 miljoonan Facebookin käyttäjän henkilötietoja on vuodettu verkkoon. Vuodetussa tietokannassa on lähes 1,4 miljoonan suomalaisen tiedot.
Tietotekniikka-asiantuntija Petteri Järvisen mukaan tietovuodon taustalla oleva hakkeri on käyttänyt hyödykseen Facebookin haavoittuvuutta ja hakkerin saaliiksi on jäänyt valtava määrä hajanaista tietoa.
Kyseessä ei kuitenkaan ole tuore tapaus, sillä Facebookin haavoittuvuus havaittiin jo noin 1,5 vuotta sitten.
Elokuussa vuonna 2019 Facebook tiedotti paikantaneensa haavoittuvuuden, jota tietovuodosta vastaava hakkeri on osannut käyttää hyödykseen.
Järvisen mukaan tietovuodon taustalla oleva hakkeri sai tuolloin haltuunsa valtavan määrän Facebook-käyttäjien henkilötietoja.
– Ne olivat pitkään myynnissä pimeän verkon puolella. Eilen joku on laittanut tämän koko tietokannan avoimen verkon puolelle.
– Se ei ihan helposti löydy, mutta jos vähänkään tietää, mistä etsiä, se on periaatteessa kenen tahansa saatavilla, Järvinen pohtii.
Historian suurimpia tietovuotoja
Vielä toistaiseksi ei tiedetä, miksi tietokanta on ladattu kaikkien saataville. Järvinen spekuloi, että motiivina on voinut olla kiusanteko tai sitten tietokannalla ei ole nähty enää kaupallista hyötyä.
Oli kyseessä sitten tarkoituksenmukainen haitanteko tai vahinko, Järvisen mukaan Facebook-käyttäjiin kohdistunut tietovuoto on määrällisesti yksi suurimmista tietovuodoista.
– On ollut vielä suurempia määrällisesti, mutta tässä tapauksessa merkittävää on se, että vuodettuja tietoja on yli sadasta maasta, niitä on yli 500 miljoonaa, Järvinen perustelee.
Tällaisia tietoja on julkaistu kaikkien saataville
Järvisen mukaan kaikista tietovuodon kohteiksi joutuneiden henkilöiden tiedoista on vuodettu ainakin nimi ja puhelinnumero.
Jälkimmäinen on Facebookille hyödyllinen tieto, jonka avulla Facebook kykenee yhdistämään osoitekirjoja ja saa selville, ketkä käyttäjät tuntevat toisensa.
Puhelinnumeron perimmäisenä tarkoituksena on kuitenkin ollut varmistaa Facebook-käyttäjän tilin turvallisuus.
– Puhelinnumero on Facebookille tarpeen sen vuoksi, että jos tili varastetaan tai käyttäjä unohtaa salasanansa tai kirjautuu vieraalta koneelta, puhelinnumeroon lähetetään kirjautumiskoodi, Järvinen kertaa.
Edellä mainittujen tietojen lisäkksi tietovuodon yhteydessä on julkaistu henkilötietoja vaihtelevasti.
– Joistain on kotikunta, joistain syntymäpaikka, joillain työnantajan nimi, joillain sähköpostiosoite, Järvinen listaa.
– Se ei ole täydellinen tietokantadumppi tietyistä henkilöistä vaan siihen on sattumanvaraisesti päätynyt eri henkilötietoja eri henkilöistä.
Kyseessä ei ole salasanavuoto
Hyvä asia massiivisessa tietovuodossa on se, että kyseessä ei ole Järvisen mukaan salasanavuoto, eli kaikkein arkaluontoisimmat tiedot eivät ole vuotaneet julki.
– Salasanoja ei ole – se on loistava juttu! Ei myöskään henkilötunnuksia tai pankkitilinumeroita tai muita oikeasti vaarallisia tietoja.
Koska salasanoja ei ole onnistuttu hakkeroimaan, tietovuoto ei välttämättä velvoita salasanan vaihtamiseen, ellei havaitse jotain muuta erikoista käyttäjätilillään.
Tietovuodossa olevien tietojen avulla pääsee käsiksi ainoastaan käyttäjien julkisiin tietoihin.
Liikenne- ja viestintäviraston kyberturvallisuuskeskuksen mukaan eilisessä henkilötietojen vuodossa on kuitenkin olemassa identiteettivarkauden riski.
Järvisen mukaan vuodettuja tietoja voidaan käyttää myös esimerkiksi talousrikosten, kuten petosten, tekemiseen.
– Niitä on mahdoton saada pois ja jälkien korjaaminen ja vahinkojen selvittäminen voi olla jopa vuosien piina pahimmassa tapauksessa.
Lue myös: Kysely: Yli 750 000 suomalaista joutui viime vuonna identiteettivarkausyrityksen kohteeksi
Juttu jatkuu kuvan jälkeen.
Millaisia seuraamuksia Facebookille on tiedossa?
Eilinen vuodettujen tietojen julkistaminen ei ollut laadussaan ensimmäinen Facebookiin liittyvä kohu.
– Facebook on todella leväperäinen henkilötietojen käytössä, ja kulttuuri yrityksen sisällä on aivan lapsekasta ja nörttihenkistä.
GDPR-tietosuojalainsäädäntö on pakottanut eurooppalaiset yritykset huolehtimaan ihmisten henkilötiedoista aiempaa tarkemmin. Lain rikkominen mahdollistaa jopa miljardien sakot.
Lue myös: Mikä ihme on GDPR-asetus? Viisi asiaa, jotka sinun on pakko tietää laista
Facebook ei ole itse tiedottanut käyttäjätietojen vuotamisesta.
Järvinen uskoo, että Facebookille on tiedossa tuntuvia seuraamuksia – kenties mojovat sakot – sillä Facebookilla on lain puitteissa velvollisuus kertoa tietovuodon kohteeksi joutuneelle tapahtuneesta.
– On mielenkiintoista nähdä, kuinka monen miljardin sakot Facebook saa jälleen kerran tästä mokasta, ja onko Facebookilla velvollisuus maksaa korvauksia käyttäjille, Järvinen toteaa.