Uppdatering (2021-04-07): Nu går det även att söka efter mobilnummer på ”Have I Been Pwned?”. Läs mer längre fram i artikeln. Facebook har också gått ut med ett officiellt uttalande.
Uppdatering (2021-04-05): Se inslaget från kvällens TV4-nyheterna där Jonas Lejon berättar mer om riskerna.
2019 råkade Facebook ut för en dataläcka där 533 miljoner användares personuppgifter hamnade på avvägar. Detta rapporterar Business Insider. Under påskhelgen lades dataläckans innehåll på en publik server, vilket gör att angripare av alla dess slag nu har gratis tillgång till informationen. Enligt en TT-nyhet i DN berörs över en miljon svenska användare.
Även om dataläckan inte innehåller några lösenord är det problematiskt när en så stor mängd personuppgifter kommer angripare tillhands. Med tillgång till informationen kan angriparna stärka sin trovärdighet i attacker där de vill utge sig för att vara någon annan än de i själva verket är. I och med att dataläckan innehöll användarnas telefonnummer kan personer med hemligt telefonnummer kan också ha fått sina sådana läckta.
Sök efter din e-postadress
Säkerhetsforskaren Troy Hunt är eldsjälen bakom tjänsten ”Have I Been Pwned?” som vi ofta rekommenderar för att få notiser vid dataläckor. Han meddelar på Twitter att han har lagt till Facebook-läckan i tjänstens databas, så att det nu går att se om ens e-postadress är med däri. Besök haveibeenpwned.com för att se ifall din e-postadress berörs.
@haveibeenpwned 2021-04-04
E-postadressen ger inte hela bilden
Tyvärr var det bara en halv procent av alla konton som hade den kopplade e-postadressen med i dataläckan. ”Have I Been Pwned?” kan därför enbart bekräfta att en person är med i dataläckan, inte motsatsen. För att kunna ge ett faktiskt svar hade Troy Hunt behövt göra telefonnumret sökbart, något han än så länge har valt att avstå från på grund av integritetsproblematiken.
@troyhunt 2021-04-04
Ännu bättre hade det självfallet varit ifall Facebook själva underrättade alla berörda personer om vilka personuppgifter som har hamnat i orätta händer. I avsaknad på det får vi utgå från att telefonnummer som vi hade registrerat på Facebook 2019 har läckt. Vi uppdaterar artikeln och mejlar våra nyhetsbrevsprenumeranter ifall ”Have I Been Pwned?” eller någon annan seriös tjänst gör dataläckans telefonnummer sökbara.
Uppdatering: Mobilnummer är nu sökbara
Troy Hunt har nu valt att även göra mobilnumren sökbara. Det innebär att vi nu kan få svar som inte bara bekräftar om vi är med i läckan utan också ifall vi inte är det. Gå till haveibeenpwned.com och sök efter ditt mobilnummer för att se om det var med i läckan. Kom ihåg att ange landskod (+46).
I ett inlägg på sin privata blogg meddelar Troy Hunt att det enbart är telefonnumren från Facebook-läckan som är sökbara. Han har inte för avsikt att komplettera databasen med telefonnummer från historiska läckor. Skulle det däremot i framtiden inträffa en läcka i klass med Facebooks kommer han att vara väl förberedd för att göra telefonnumren sökbara direkt.
Denna artikel är publicerad under CC BY 4.0-licens med undantag för bilder där en annan fotograf är angiven.
Flera läsare har hört av sig och frågat om vad de ska göra nu när deras telefonnummer har läckt. Tyvärr finns det inget att göra utöver att vara medveten om att läckan har skett. Det innebär att det under de kommande månaderna råder förhöjd risk för att någon försöker utsätta er för nätfiskeattacker via telefon, SMS eller mejl. Var extra vaksamma när ni blir kontaktade och kom ihåg att numret som någon ringer från eller SMS:ar från kan vara ”spoofat” (fejkat så att angriparen ser ut att ringa från någon annans nummer).