I helgen ble det kjent at personopplysninger tilhørende rundt 533 millioner Facebook-brukere har blitt lekket på nettet. Opplysningene inkluderer det eventuelle telefonnummeret brukerne har oppgitt i Facebook-profilen sin. I mange tilfeller er nok dette noe andre uansett kan finne i en telefonkatalogtjeneste, men enkelte med hemmelig nummer kan være berørt av lekkasjen.
Samlingen kan uansett være en gullgruve for dem som driver med tvilsomme markedsføringsmetoder.
I alt skal opplysninger om 475.809 norske Facebook-brukere være blant de lekkede dataene. Det skal ha vært sårbarheter i Facebooks systemer som har gjort det mulig å hente ut dataene. Det er lite som tyder på at samlingen om nå er frigitt, inneholder data som ikke har blitt lekket før. Men nå er de blitt langt mer tilgjengelige.
Også Facebook-sjefen selv, Mark Zuckerberg, skal være blant brukerne som er berørt av lekkasjen:
Regarding the #FacebookLeak, of the 533M people in the leak - the irony is that Mark Zuckerberg is regrettably included in the leak as well.
If journalists are struggling to get a statement from @facebook, maybe just give him a call, from the tel in the leak? ??@GazTheJourno pic.twitter.com/lrqlwzFMjU
— Dave Walker (@Daviey) April 3, 2021
Sjekk om du selv er berørt
Fram til nå har det vært vanskelig for brukerne å vite om de er berørt av lekkasjen.
Nå har tjenesten Have I Been Pwned (HIBP)fått tilgang til dataene, noe som gjør det mulig for de fleste å sjekke om de er berørt av Facebook-lekkasjen. Dette kan du gjøre ved å gå inn på nettstedet til HIBP og søke etter det samme telefonnummeret som du har oppgitt i Facebook-profilen. Norske numre kan oppgis i et format som dette: +4712345678.
Det er australske Troy Hunt som står bak HIBP-tjenesten.
Før GDPR?
Det er uenighet om når dataene ble lekket. Alon Gal, som først omtalte frislippet av dataene, hevder at telefonnumrene i samlingen stammer fra utnyttelse av en sårbarhet i begynnelsen av 2020. Facebook oppgir derimot at dataskrapingen trolig har skjedd i forkant av to endringer som ble innført i plattformen i henholdsvis 2018 og 2019.
Tidspunktet kan få stor betydning. EUs personvernforordning, GDPR, ble innført i mai 2018. Den har ikke tilbakevirkende kraft.
Viser det seg at dataene har blitt lekket på et senere tidspunkt, risikerer Facebook et stort gebyr.
Det er datatilsynet i Irland som har ansvaret for å behandle saken. I en oppdatering skriver tilsynet at noen av dataene kan stamme fra en senere periode enn 2018. Fortsatt avventer tilsynet mer informasjon fra Facebook.
Facebook brukte svimlende 200 millioner kroner på å beskytte sjefen sin mot trusler