Πασίγνωστοι Έλληνες, κυρίως από τον καλλιτεχνικό χώρο, έχουν πέσει θύματα μιας από τις πιο σοβαρές πειρατείες που έχουν γίνει στα social media – Το χειρότερο δυνατό σενάριο του εκβιασμού – Το χάκινγκ οφειλόταν σε κενό ασφαλείας του 2019
Προσωπικά δεδομένα όπως αριθμός κινητού τηλεφώνου, οικογενειακή κατάσταση, τόπος διαμονής, επάγγελμα, διεύθυνση ηλεκτρονικού ταχυδρομείου κ.α., τα οποία αφορούν σε 553.000.000 χρήστες του Facebook παγκοσμίως κυκλοφορούν ελεύθερα στο διαδίκτυο. Υπολογίζεται κατά προσέγγιση ότι μεταξύ αυτών υπάρχουν και 625.000 Έλληνες. Ονόματα διασήμων, κυρίως από τον καλλιτεχνικό χώρο, εντοπίζονται στο σχετικό αρχείο, το οποίο έχουν κοινοποιήσει οι άγνωστοι χάκερ.
Πρόκειται για μία από τις μεγαλύτερες και πιο σοβαρές ψηφιακές πειρατείες που έχουν διαπραχθεί ποτέ στα social media. Μάλιστα, το χακάρισμα των προσωπικών δεδομένων χρονολογείται από το 2019, έως σήμερα όμως δεν ήταν ευρύτερα γνωστό.
Σύμφωνα με πληροφορίες, ανάμεσα στα περίπου 625.000 εξ Ελλάδος θύματα της παγκόσμιας διαρροής, συγκαταλέγονται πασίγνωστες προσωπικότητες (τραγουδίστριες, αθλήτριες, τηλε-περσόνες κ.λπ). Και, το πιθανότερο, είναι ότι οι ίδιοι δεν έχουν πληροφορηθεί ακόμη ότι το κινητό τους τηλέφωνο βρίσκεται στη διάθεση οποιουδήποτε αναζητήσει το αρχείο με τα διαρρεύσαντα δεδομένα. Ακόμη και εάν αυτός ο αριθμός θεωρούνταν απόρρητος.
Το phishing διαδεδομένη μέθοδος για την απόσπαση δεδομένων
Μιλώντας στο protothema.gr σχετικά με την «υποκλοπή του αιώνα» από το Facebook, ο κ. Κυπριανός Βασιλόπουλος, Επικεφαλής Σύμβουλος Ασφαλείας της εταιρείας Trustwave/Spiderlabs επισημαίνει ότι «εάν κάποιος έχει πρόσβαση στον αριθμό του κινητού τηλεφώνου ενός χρήστη, μπορεί να το χρησιμοποιήσει για να κάνει το λεγόμενο ‘phishing’. Δηλαδή, να στέλνει παραπλανητικά μηνύματα που περιέχουν links για διευθύνσεις στο διαδίκτυο, όπου μπορεί πχ να ζητά ανάκτηση κωδικών κ.λπ. Το ‘phishing’ είναι μια πολύ διαδεδομένη μέθοδος για την απόσπαση δεδομένων από έναν ανύποπτο χρήστη».
Στην πράξη, οποιοσδήποτε γνωρίζει τον αριθμό του κινητού τηλεφώνου κάποιου -εν προκειμένω ενός χρήστη του Facebook- μπορεί να το χρησιμοποιήσει για κάθε είδους ενέργεια. Από την αποστολή εξατομικευμένων διαφημιστικών SMS, έως την παρενόχληση, την παραπλάνηση και την απόσπαση ακόμη πιο ευαίσθητων προσωπικών στοιχείων.
Πώς μπορεί η υποκλοπή να οδηγήσει στο χειρότερο δυνατό σενάριο
Θα πρέπει να διευκρινιστεί ότι η διαρροή-μαμούθδεν αφορά σε κωδικούς πρόσβασης των προφίλ στο Facebook. Παρόλ’ αυτά, για λόγους εύκολης απομνημόνευσης, πολλοί χρήστες συνηθίζουν, αντί άλλου κωδικού, να χρησιμοποιούν τον αριθμό του τηλεφώνου τους. Στην περίπτωση αυτή, το χάκινγκ μπορεί να πάρει ανεξέλεγκτες διαστάσεις, με την υποκλοπή απόρρητων δεδομένων, φωτογραφιών, βίντεο, προσωπικής αλληλογραφίας κ.ο.κ.
Κατ’ αυτό τον τρόπο μπορεί να επαληθευτεί το χειρότερο δυνατό σενάριο: Η εισβολή στον προσωπικό λογαριασμό μπορεί να συνδεθεί με εκβιασμό, εκφοβισμό -και, εν ολίγοις, με το καθαυτό ηλεκτρονικό έγκλημα.
Το αρχείο με τον αχανή κατάλογο των στοιχείων κοινοποιήθηκε μέσω μιας «underground» κοινότητας ατόμων τα οποία ανταλλάσσουν πληροφορίες χρήσιμες για το χάκινγκ.
Το αρχείο με τα στοιχεία δόθηκε δωρεάν και χωρίς αντάλλαγμα
Πάντως εντύπωση προκαλεί το γεγονός ότι το αρχείο με τα στοιχεία των 553 εκατ. χρηστών δόθηκε δωρεάν από τους ψηφιακούς πειρατές, δηλαδή χωρίς να απαιτηθεί κάποιου είδους αντάλλαγμα, λύτρα κ.λπ. Η όλη ενέργεια φαντάζει μάλλον σαν επίδειξη δύναμης εκ μέρους των χάκερ -και, στη χειρότερη των περιπτώσεων- αποτελεί προειδοποίηση ότι οι ίδιοι θα μπορούσαν, εάν το αποφάσιζαν, να υποκλέψουν ακόμη πιο ευαίσθητα προσωπικά δεδομένα.
Εκ μέρους του Facebook δεν μπορεί να ληφθεί κάποιο μέτρο, εφόσον η διαρροή των δεδομένων έχει πλέον συντελεστεί, χωρίς σε αυτήν να περιλαμβάνονται κωδικοί πρόσβασης σε προφίλ χρηστών. Εάν είχε συμβεί κάτι τέτοιο και δη σε τόσο μεγάλη κλίμακα, το Facebook θα βρισκόταν σε εξαιρετικά δύσκολη θέση, καθώς θα ήταν αναγκασμένο, αφ’ ενός να ζητήσει από μισό δισ. χρήστες να αλλάξουν κωδικούς πρόσβασης στα προφίλ τους ώστε να προστατευθούν από ενδεχόμενες «διαρρήξεις». Αφ’ ετέρου όμως, το Facebook θα έπρεπε να απολογηθεί για το πώς κατέστη δυνατή η κολοσσιαία πειρατεία, παρά τα αυξημένα μέτρα προστασίας των προσωπικών δεδομένων, τα οποία υποτίθεται πως λαμβάνει.
Επισήμως, το Facebook διατείνεται ότι «η συγκεκριμένη διαρροή οφειλόταν σε ένα κενό, το οποίο έχουμε κλείσει, ήδη από τον Αύγουστο του 2019. Τα δεδομένα που κυκλοφόρησαν είναι παλιά».
