NA INTERNETU se odnedavno mogu naći ukradeni osobni podaci 650 tisuća hrvatskih korisnika Facebooka.

Na jednom od hakerskih foruma objavljeni su tako osobni podaci od mailova, datuma rođenja pa do privatnih brojeva telefona, a navodno su objavljeni podaci brojnih poznatih Hrvata s političke i estradne scene. Na stranici "Have I been pwned" je moguće unosom telefonskih brojeva provjeriti je li osoba zahvaćena masovnom objavom podataka.

Na ovaj način smo provjerili i ustanovili da su sljedeće osobe sasvim sigurno zahvaćene objavom ukradenih osobnih podataka, a to su: ministri Vili Beroš i Ivan Malenica i poduzetnici Emil Tedeschi, Luka Abrus i Saša Cvetojević. Tu su i predsjednik Ustavnog suda Miroslav Šeparović te zastupnik Nikola Grmoja. Objavom osobnih podataka obuhvaćena je glumica i aktivistica Jelena Veljača, komičar Ivan Šarić kao i mnoge druge poznate osobe s hrvatske javne scene.  

"Ukradeni podaci su dostupni onima koji su ih tražili"

Podaci su, za one koji znaju tražiti, lako dostupni, a objavljeni su sveukupno osobni podaci preko 533 milijuna korisnika Facebooka. Talijansko nadzorno tijelo već je izdalo upozorenje prema kojem je kažnjivo kad pojedinci objavljuju takve podatke i dalje ih obrađuju. S druge strane, hrvatsko nadzorno tijelo za osobne podatke, Agencija za zaštitu osobnih podataka (AZOP), još se uvijek nije oglasilo o ovom slučaju.

Što se zapravo dogodilo, što mogu hrvatskih korisnici učiniti kako bi zaštitili svoje podatke i što će se dogoditi s Facebookom nakon ove nevjerojatne blamaže pričali smo s Dujom Prkutom iz udruge Politiscope, fokusirane upravo na zaštitu privatnosti podataka građana, te s računalnim stručnjakom Lucijanom Carićem.
 
"Prije 4 dana na hakerskom forumu objavljeni su osobni podaci preko 533 milijuna korisnika Facebooka, hakirani u data breachu još 2019. godine. Među njima se našlo i oko 650 tisuća hrvatskih korisnika. Dakle, ukradeni podaci su besplatno dostupni svima, ili točnije – onima koji su ih tražili. Možemo pretpostaviti da u ovom trenutku postoje tisuće offline primjeraka setova ukradenih podataka i stotine koje se još uvijek dijele online. Iz tih setova podataka se vrlo lako mogu izvući nacionalni popisi hakiranih Facebook korisnika, filtriranjem i sortiranjem prema pozivnom broju države", kaže Prkut u razgovoru za Index naglašavajući kako udruga Politiscope upozorava sve građane i tvrtke da je bilo kakva daljnja obrada podataka iz ovakvih popisa zabranjena i nezakonita.

Prkut: Osim maltretiranja, tu su i prevare

"Najopasnija vrsta podataka izložena u ovom breachu jest broj mobitela korisnika – osim što su građani, pogotovo javne osobe, na ovaj način izloženi potencijalnom maltretiranju, drastično je povećana mogućnost raznolikih tipova prijevara, kao i mogućnost krađe identiteta. No, velik je broj građana koji jednostavno ne žele da je njihov broj javno dostupan. Facebook je trebao direktno obavijestiti sve korisnike kojima su podaci ukradeni i omogućiti im provjeru koji su podaci zahvaćeni breachom – i to još 2019. godine. To, nažalost, nije napravljeno ni nakon nedavnog leakanja podataka. Umjesto toga, Facebook se upustio u PR kampanju – tako još uvijek ne žele priznati opseg breacha, a ozbiljnost situacije pokušavaju umanjiti ističući da se radi o starom, javnosti poznatom događaju iz 2019. godine", ističe Prkut.

Lucijan Carić: Facebook se ne može oprati od ovog skandala

Naime, kako nam je rekao, postoji i jednostavan način provjere nalaze li se vaši podaci na toj listi. To je moguće preko stranice haveibeenpwned.com. Naime, možete ukucati vlastit broj telefona te ustanoviti jesu li se vaši podaci pojavili kao dio posljednjeg breacha. Tako smo i sami došli do potvrde za poznata imena iz uvoda članka.

S druge strane, iz udruge Politiscope, naglašavaju kako se stranica haveibeenzucked.com, koja se pojavila baš u svrhu provjere nalaze li se naši podaci u Facebook breachu, i koja je promovirana na nekim hrvatskim portalima, pokazala posve nepouzdanom.  

Računalni stručnjak Lucijan Carić kaže da je curenje korisničkih podataka iz Facebooka zapravo stara i poznata stvar, jer se dogodila prije nekog vremena. No, bez obzira na to, najveća društvena mreža, teško će se "oprati" od ovog skandala, no posljedica teško da bi moglo biti.

"Facebook se tako ponaša - business as usual. Sada jedino sigurno znamo da su ti podaci postali i javno dostupni. Facebook se, naravno, ne može oprati od ovog skandala, ali najgora stvar koja im se može dogoditi je da ih EU regulatori oderu kakvom GDPR kaznom koju će bez problema platiti", ističe Carić u razgovoru za Index.

Niz sigurnosnih incidenata na Facebooku

Kako je istaknuo Carić, Facebook, moguće, ima problema oko osiguranja kvalitete aplikacija i sigurnosti. I to je, kaže ovaj računalni stručnjak, vidljivo već neko vrijeme.

"Već duže vremena njihovo sučelje (pogotovo desktop) je vrlo loše i nestabilno, a imali su i više raznih sigurnosnih incidenata", zaključuje Carić.

Prkut s druge strane naglašava da se brojevi mobitela nalaze u procurenoj bazi podataka zbog toga što je Facebook prije koju godinu prisilio korisnike na davanje tog podatka – i to pod izlikom povećanja zaštite sigurnosti kroz uvođenje dvofaktorske autentifikacije računa.

"Naknadno se ispostavilo da su brojeve mobitela koristili i u svrhe prikazivanja targetiranih reklama, bez da su korisnici bili informirani o toj praksi, s čime je tvrtka (navodno) prestala tek kad joj je prijetilo pokretanje sudskog postupka pred Federal Trade Commissionom SAD-a. Zahvaljujući ovakvoj politici, više od pola milijarde korisnika Facebooka danas bi bilo znatno sigurnije u digitalnom okruženju da nisu koristili skandalima obilježenu društvenu mrežu", kaže Prkut u razgovoru za Index.

Politiscope: Moguća i kolektivna tužba za hrvatske korisnike Facebooka

Prkut ističe da je posve jasno da je Facebook direktan krivac za propust te vjeruje da će nadzorna tijela za zaštitu podataka u ozbiljnim i uređenim državama članicama EU pokrenuti postupke kako bi se breach detaljnije istražio te Facebook adekvatno kaznio, sukladno utvrđenoj razini odgovornosti.

"Ističemo kako GDPR građanima čija su prava na zaštitu osobnih podataka prekršena ostavlja mogućnost tužbe za naknadu štete u slučaju nanesene materijalne ili nematerijalne štete. Politiscope trenutno razmatra izvedivost pokretanja kolektivne sudske tužbe za hrvatske korisnike Facebooka, u suradnji s odvjetničkim uredom. Trenutne procjene europskih udruga koje se bave kolektivnim tužbama je da korisnici oštećeni u ovom breachu imaju pravo na nekoliko stotina eura naknade. Ovakva kolektivna tužba se poklapa s dugoročnim strateškim ciljem udruge Politiscope – kreiranje pritiska koji će rezultirati promjenom poslovnog modela Facebooka i drugih big-tech tvrtki, baziranog na masovnoj nelegitimnoj obradi podataka korisnika s ciljem manipuliranja njihovim stavovima i ponašanjem", ističe na kraju Prkut.

Carić tvrdi da krajnji korisnici mogu vrlo malo toga napraviti jednostavno zato jer su - sami dali podatke.

Facebook će se sigurno braniti da su hakeri mudriji

"Što se korisnika tiče, oni tu ne mogu puno učiniti. Onog časa kada drugome predate svoje podatke zapravo ste izgubili vlast nad njima i ovisite o njegovoj milosti, integritetu i stručnosti. Isto treba imati na umu da vaše ime, mail adresa, pa čak i telefon nisu neki tajni podaci koje je lako zaštititi, budući da ih koristite u dnevnoj komunikaciji i oni mogu procuriti kod svakog tko ih je ikada imao", ističe Carić.

No, ipak, kaže ovaj računalni stručnjak, problem itekako postoji.  

"Problem u ovom slučaju je da se radi o masovnom curenju podataka, kao i to da su procurili neki podaci koje je Facebook deklarirao kao bitne za sigurnost korisnika, npr. telefonski broj koji se koristi za slanje autorizacijskih ključeva", ističe Carić, no ujedno i pita koliko zapravo mogu napraviti regulatori.

Od hrvatskog AZOP-a očekuje se - ništa

"Hakeri i zlonamjerni korisnici i treće strane uopće se neće obazirati na njihova upozorenja i zabrane prikupljanja i korištenja procurenih podataka. Facebook će se vjerojatno braniti da nisu prekomjerno prikupljali podatke te da su poduzeli više nego razumne napore u zaštiti, investirali, ali hakeri su ih ipak uspjeli nadmudriti - kao i mnoge druge", ističe Carić.

Prkut s druge strane ukazuje kako je od hrvatskog AZOP-a teško očekivati i onaj minimum reakcije.

"Zbog toga što je AZOP u nizu primjera pokazao potpuno odsustvo proaktivnosti koje je neprimjereno za nadzorno tijelo za zaštitu podataka. Razloge pasivnosti AZOP-a treba tražiti u podređenom odnosu prema vladi RH i trajnom sukobu interesa u kojem se nalazi ravnatelj AZOP-a, koji je prethodno preuzimanju funkcije bio član vladajuće stranke i državni dužnosnik u ministarstvu graditeljstva. Agencija koja je uljuljkana u mirni san kroz potpuno ignoriranje praksi obrade podataka građana, koje se odvija u svim granama i razinama javne vlasti, neće se odjednom razbuditi zbog propusta u zaštiti podataka koje rade privatne tvrtke poput Facebooka. Dodatno tome, analiza koju je provela udruga Politiscope ukazuje na to da Agencija nema kapacitete za nadzor suvremenih tehnoloških praksi obrade i prikupljanja podataka te da ovo nevješto prikriva u svojim izvještajima o radu koje podnosi saboru", kaže na kraju Prkut.