Internet je nebezpečné místo a když není nějaký server správně zabezpečený, dají se z něj poměrně jednoduše stáhnout všechna data. V zabezpečení ale občas očividně pochybí i firmy, u kterých bychom očekávali, že na zabezpečení budou mít jedny z nejlepších expertů.
Jak totiž píše web TechCrunch, Facebook nechal k internetu připojený jeden server, který neměl žádné zabezpečení a zároveň obsahoval databázi s více než 419 miliony řádků, ve kterých byla uložena data uživatelů. V drtivé většině případů šlo o řádky, ve kterých byly “jen” telefonní čísla uživatelů spolu unikátními Facebook identifikátory. Facebook identifikátory jsou unikátní řetězce znaků, podle kterého je možné dohledat jméno konkrétní osoby, pokud má člověk přístup ke zbytku databází. V některých řádcích databáze, která unikla, se však nacházely i další údaje o uživateli, jako uživatelské jméno, pohlaví a domácí stát.
Facebook se zhruba před rokem rozhodl, že omezí, k čemu bude možné telefonní číslo na jejich platformě možné použít. Tato databáze je tedy stará a poslední aktualizace zřejmě proběhla před uvedením tohoto rozhodnutí do praxe. Jako starou označila tuto databázi i tisková mluvčí Facebooku (volně přeloženo):
“Tento dataset je starý a zdá se, že obsahuje informace, které byly naposledy aktualizovány před více než rokem, kdy jsme se rozhodli učinit změnu, která zabraňovala lidem hledat uživateke Facebooku podle telefonních čísel. Tento dataset byl už nyní smazán a nemáme důvod věřit, že byl některý Facebook účet jakkoliv ohrožen.”
Redaktoři webu TechCrunch však dokázali ověřit několik záznamů v této databázi tím, že je porovnali s telefonním číslem a Facebook identifikátorem s konkrétním uživatelským účtem. Autenticita dalších záznamů byla ověřena pomocí funkce zapomenutého hesla, kterou Facebook taktéž nabízí. Tato funkce částečně odhalí část telefonního čísla, které je k účtu přiřazeno a tato odhalená část byla identická s telefonním číslem v uniklé databázi.
V databázi se však nacházely převážně údaje zahraničních účtů. Konkrétně jde o údaje 133 milionů uživatelů z USA, 18 milionů uživatelů z Velké Británie a 50 milionů uživatelů z Vietnamu.
Bezpečnost telefonních čísel se začala hodně řešit hlavně v posledních letech, kvůli takzvanému SIM-hackingu. To funguje tak, že útočník, který získal vaše číslo, zavolá vašemu poskytovateli mobilních služeb a požádá o převod čísla k jinému operátorovi. Ten poté vydá útočníkovi novou SIM kartu, se kterou získá i telefonní číslo oběti a všechny hovory a SMS zprávy jsou přesměrovány útočníkovi. Ten toho poté může využít, aby obešel dvoufaktorové ověřování na některých účtech. Tento typ útoků se objevuje hlavně v USA, kde je převod čísla poměrně rychlý a nevyžaduje, aby se zákazník dostavil na pobočku, což nechává útočníkům otevřená vrátka.
