Kyberturvallisuuskeskus: Facebookin tietovuodossa ei ole vuotanut niin paljon tietoja kuin alkuun luultiin

Vuonna 2019 varastetut tiedot ovat nyt päätyneet julkiseen verkkoon kenen tahansa saataville. Kaikista tietovuodon uhreista on julkaistu nimi ja puhelinnumero. Lisäksi osasta on mukana esimerkiksi sähköpostiosoite, syntymäpäivä, kotipaikkakunta, työpaikka tai sukupuoli.

Puhelinnumero on kuitenkin Juho Jauhiaisen mukaan ainoa vuotanut tieto, joka on ollut salainen. Muita tietoja on listassa vain, jos ne ovat olleet tietomurron aikaan Facebook-profiilissa julkisesti näkyvissä kaikille.

–  Alun perin annettiin ymmärtää, että siellä olisi enemmän tietoa per henkilö yhdistettynä puhelinnumeroon, Jauhiainen sanoo.

Kyse on toki merkittävän mittakaavan tietomurrosta, mutta yöuniaan sen vuoksi ei kannata menettää, Jauhiainen rauhoittelee.

Identiteettivarkaudet epätodennäköisiä

Eniten harmia tietovuodosta voikin aiheutua niille, joiden puhelinnumero on salainen. Silloin voi joutua harkitsemaan numeron vaihtamista.

Varmuuden vuoksi Jauhiainen ei ryhtyisi vaihtamaan sähköpostiosoitetta tai puhelinnumeroa, jos siihen ei ole erityisen painavaa syytä. Samoilla linjoilla on tietoturvayhtiö F-Securen tutkimusjohtaja Mikko Hyppönen.

Salasanoja ei tämän vuodon vuoksi tarvitse vaihtaa, sillä ne eivät ole tässä vuodossa vaarantuneet.

Lue myös: Täältä voit tarkistaa, vuotiko sinun tietojasi Facebookista

Puhelimen käytössä kannattaa kuitenkin olla entistäkin valppaampi. Huijauspuheluiden ja -tekstiviestien määrä voi lisääntyä nyt, kun tiedot ovat kootusti kenen tahansa saatavilla.

–  Tämä on ongelma, mutta aika pieni ongelma verrattuna moneen muuhun tietovuotoon, joissa vuotaa ihmisten salaisuuksia, maksutietoja, henkilötunnuksia tai salasanoja, Hyppönen sanoo.

Vuotoon liittyvää identiteettivarkauden riskiä Kyberturvallisuuskeskus pitää lievänä.

–  Riski on mahdollinen mutta hyvin epätodennäköinen, Jauhiainen luonnehtii.

Suomalaisia listalla aiemmin luultua vähemmän

Tällä hetkellä ei ole helppoa ja luotettavaa tapaa tarkistaa, onko omia tietoja vuodettujen joukossa.

Verkkoon on ilmestynyt joitain palveluita, joihin numeronsa voi syöttää, esimerkiksi suomenkielinen vuoto.fi. Kyberturvallisuuskeskus ei kuitenkaan tässä vaiheessa voi suositella tällaisten sivustojen käyttöä, koska niiden tekijöistä ei ole tietoa.

Esimerkiksi Haveibeenpwned-sivustoa on yleensä pidetty luotettavana tapana tarkastaa omien tietojen tila. Tässä tapauksessa siitä ei kuitenkaan ole juuri hyötyä, koska puhelinnumeroa ei sivustolle voi syöttää.

Yli 500 miljoonasta tietovuodon uhriksi joutuneesta Facebook-käyttäjästä suomalaisia on Jauhiaisen mukaan noin 1,2 miljoonaa. Määrä on hieman pienempi kuin aiemmin uutisoitu 1,4 miljoonaa, sillä suomalaisten tietojen joukossa oli myös esimerkiksi arabiemiraattien kansalaisia.

Tietovuodolta eivät olleet suojassa edes Facebookin perustajat. 500 miljoonan nimen joukosta löytyy muun muassa Mark Zuckerberg puhelinnumeroineen, kertoo muun muassa Business Insider.

–  Tässä meillä on historian ensimmäinen globaali puhelinluettelo, Mikko Hyppönen kuvailee.

Mieti, mitä tietoja annat

Tulevilta tietomurroilta ja -vuodoilta suojautumisessa asiantuntijoilla on yksi neuvo ylitse muiden: harkitse, mitä tietoja palveluille itsestäsi annat. 

–  Lähtökohtaisesti kannattaa miettiä, onko tarpeellista laittaa sitä syntymäpäivää sinne. Ja tarvitseeko Facebookin tietää esimerkiksi kotiosoitetta, Jauhiainen sanoo.

Hyppönen muotoilee asian näin:

–  Kun käyttää Facebookin kaltaisia palveluita, kannattaa ajatella, että mitä tahansa tietoja sinne syöttää, ne päätyvät ennen pitkää julkisiksi.

Toki esimerkiksi syntymäpäivän kohdalla on myös mahdollista antaa väärä päivämäärä.

–  Se on varmasti käyttäjäehtojen vastaista, mutta se ei ole rikollista, Hyppönen sanoo.

Myös vahvat salasanat ja monivaiheinen tunnistautuminen on hyvä muistaa, vaikka tämänkertaisessa tietomurrossa kirjautumistiedot eivät vaarantuneetkaan. Jauhiainen pitää monivaiheista tunnistautumista järkevänä, vaikka siihen usein tarvitaankin puhelinnumero.

Tiedot pitää poistaa, jos käyttäjä pyytää

Tietomurron myötä moni on saattanut huolestua siitä, mitä tietoja Facebookille tai muille palveluille onkaan tullut annettua. Hyvä uutinen on se, että omat tiedot on mahdollista poistaa.

EU:n tietosuoja-asetuksen GDPR:n ansiosta eurooppalaisella kansalaisella on oikeus saada miltä tahansa yritykseltä tai organisaatiolta nähtäväksi, mitä tietoja hänestä on kerätty. Tiedot pitää myös poistaa pysyvästi, jos käyttäjä sitä pyytää.

Sosiaalisessa mediassa mikään ei ole ilmaista, huomauttaa kyberturvallisuuden työelämäprofessori Martti Lehto Jyväskylän yliopistosta.

–  Jos palvelu on ilmainen, pitää kysyä, millä palveluntarjoaja elää.

"Maksuna" voivat silloin toimia esimerkiksi tieto omista tykkäyksistä ja klikkauksista.

–  Ongelma muodostuu siitä, jos näitä profilointitietoja joutuu hakkereiden käsiin.

Palveluiden käyttöohjeet olisikin syytä lukea, vaikka tutkimusten mukaan harva niin tekee, Lehto sanoo. Niistä saa selville sen, mitä palveluntarjoaja voi tiedoilla tehdä.

Huolimattomuudesta voi saada sakkoa

Facebookin edustaja on kertonut uutistoimisto AFP:lle, että tietomurron mahdollistanut haavoittuvuus korjattiin toissa vuonna. 

Käyttäjille Facebook ei tiettävästi ole tietomurrosta suoraan ilmoittanut. Hyppönen arvioi, että ei ole täysin selvää, olisiko niin pitänyt tehdä. Esimerkiksi GDPR:n puitteissa kysymys on siitä, kuinka merkittävä tietovuoto on kyseessä.

Jos viranomainen katsoo, että GDPR:n periaatteita on loukattu, palveluntarjoaja voi saada huolimattomuudesta sakkoja, sanoo Martti Lehto.

–  Jos on tehnyt parhaansa, sakkoja ei välttämättä tule.

Asiakas voi myös vaatia vahingonkorvausta, jos huonosta tietoturvasta on aiheutunut hänelle haittaa.