Aktuellt

En folkräkning är slöseri, kommer inte ge svar och inte göra dig nöjd

Det finns fler och fler krav på en folkräkning av de som finns i Sverige, men en sådan kommer helt enkelt vara ett slöseri med skattepengar ...

2021-04-03 19:18

533 miljoner användares personuppgifter läckta av Facebook - över en miljon svenskar drabbade

Facebook har drabbats av en massiv dataläcka där 533 miljoner användares e-post och telefonnummer, relationsstatus med mera har läckts. Frågan är nu om Facebook ska böta 4% av sin omsättning för brott mot GDPR? Därtill innebär detta en allvarlig säkerhetsläcka för alla som har mobiltelefonnumret som säkerhet för tvåstegsinloggning på olika tjänster.
Ansiktsbok
Över en miljon svenska användare ska omfattas av läckan, där datat publicerats gratis i hackerforum. 

Särskilt att e-post + mobilnummer har läckts är extra allvarligt, eftersom denna kombination ofta används dels för inloggning via e-post som identifierare och mobilnummer för återställande av lösenord eller tvåstegslösen. Problemet är att det är enkelt att anmäla att ett mobilnummer befinner sig i ett annat land - det finns noll säkerhet om man har tillgång till mindre nogräknade utländska teleoperatörers system, vilket sker. Därmed kan man hacka användare genom återställandekoder till mobilnumret genom att styra om SMS till valfritt nummer. Det handlar alltså inte nödvändigtvis om att kontona är sårbara på Facebook, utan på vilken tjänst som helst där mobilnummer används för återställande.

Rekommendationen är som alltid att använda separata appar för tvåstegslösen, t ex Google Authenicator, istället för mobilnummer.

Läckan kan anses vara ett brott mot GDPR, om detta inte anmälts omgående till alla berörda tillsynsmyndigheter i EU, och eventuellt innebär detta att FB kommer behöva böta 4% av sin omsättning i EU.

En annan risk är att personer som har hemliga mobilnummer, eller tagit bort sig från telefonbokstjänster, nu fått sina mobilnummer läckta.

Facebook har än så länge tigit om läckan, vilket i sig kan vara ett GDPR-brott, då alla drabbade användare ska underrättas omgående.

58 kommentarer:

  1. Man kan ju alltid ha ett skitlösenord på sidor som Facebook. Det har jag. Så kommer de bara åt ens konton man ej bryr sig om med samma lösenord.

    SvaraRadera
    Svar
    1. Läst men inte förstått ser jag. T ex Avanza kan använda mobilnr för återställande av lösenord.

      Radera
    2. Det kräver väl ett sms till numret och inte bara mobilnumret?

      Radera
    3. Jag förstår problemet om det är riktat mot en specifik person. Men tillgång till andra länders telefonoperatörers system är väl inget gemene buse på internet har? Alltså är man obetydligt som mig spelar det ingen roll.

      Om det är ett problem är telefonautentisering överhuvudtaget helt osäkert.

      Jag läste kanske snarare in mer än vad som stod. Men kanske har fel.

      Radera
    4. Är priset tillräckligt stort så kan nog kriminella gå hur långt som är helst. Här kan de få tag i Elon Musks privata Facebook. Kanske de ställer sig utanför hans bostad med en imsicatcher och fångar hans mobil med en man in the middle attack och läser återställningskoden från Facebook. Sedan köper de Teslaaktier, postar någon riktig kurspåverkande nyhet och säljer på uppgång. Bara ett av otaliga scenarion.

      Radera
    5. Operatörerna säker ju själva att mobilnummer/sms inte ska användas för autentisering eftersom det är så lätt att fejka och i praktiken sämre än ingen tvåfaktorsautentisering öht.

      Källa: https://www.google.com/search?q=SMS+2+factor+authentication+bad

      Radera
    6. Skitlösenord? Man har väl alltid starka unika lösenord, typ FVxe53h8K4dpmGE överallt? Hur ett dåligt lösenord skall kunna hjälpa har jag svårt att förstå.

      Radera
  2. Jag är inte förvånad. Jag tror inte att jag är tillräckligt väl skyddad, trots att jag använder påhittade identiteter och undviker personlig information. Jag har kameran och mikrofonen tejpade med svart och virusskydd. Jag använder den här datorn kopplad till nätet som slask-dator och en annan dator till det viktiga arbetet. Ändå tror jag inte att mitt skydd är mer än medelmåttligt.

    SvaraRadera
    Svar
    1. Jag har berättat om det här tidigare, men jag tar om det igen:
      Min tidigare arbetsgivare, en myndighet med stora kunskaper och resurser, har varit överdrivet intresserad av mina nya konstruktionslösningar. Förut när jag jobbade/forskade på univ., skickade de dit medarbetare utan att fråga i förväg om det passade. Samma sak gjorde min industri-arbetsgivare.

      Nästa gång lät min f.d. arbetsgivare låta en nyanställd kille "Bosse" att försöka locka mig till stan och "fika", en slags "honey trap", kanske. Han försökte ett stort antal ggr, men varför skulle jag åka dit, slösa timmar på resan till/från stan och sitta och avslöja mina hemligheter till nån "spion". Jag gav honom en liten informationsbit (="lödkolv") till sist och han blev överlycklig (=han slapp få skäll av chefen?).

      Sedan blev jag utskälld av en iransk doktorand, som jag delade labb med på univ.. Han frågade mig först hur min forskning gick och jag sa, (intet ont anande), att den gick riktigt bra och att vi snart hade enkla, billiga system, som kunde placeras ut runt vissa länder, för att samla in "karakteristiska signaturer". Jag hade inget specifikt land i tankarna, men han blev helt tokig. Han frågade mig, om jag spionerade på hans land och han började kalla mig för "amerikansk spion, som ville förstöra hans land" med ett förebyggande militärt anfall mot anläggningar, där material till massförstörelsevapen kan tillverkas. Han påstod, att han var helt säker på att hans eget land höll på med tillverkningen av sådana. Och att jag, min industri-arbetsgivare och Sverige, jobbade åt USA och "det förfärliga landet Israel" och att de tillsammans ville anfalla och förstöra hans land Iran! Därför måste vi låta dem bygga klart sina massförstörelsevapen och vi får inte lägga oss i. Sedan började han gå mot mig och kräva svar på vilken utrustning som vi hade placerat nära hans lands gränser. "Nu måste du berätta vad ni har placerat för utrustning nära hans lands gränser! Nu måste du berätta allt! Vilken instrumentering har ni där? Nu måste du berätta! Du jobbar åt USA! Nu måste du berätta för mig ALLTIHOP!" Jag svarade att jag inte visste och att min arbetsgivare inte brukade berätta sådant för mig. Du jobbar åt USA! Jag backade och backade, för att vi inte skulle krocka med varandra, när han gång på gång klev in i min personliga sfär. Samtalet var på engelska. Han hade alla möjligheter att fotografera all min forsknings-utrustning och ta bilderna sedan till sin ambassad, som han besökte flitigt. Jag återberättade en liten del av samtalet till Prefekten och han berättade för säkerhetschefen, som tog kontakt med Säpo. Senare ringde Prefekten till Säpo och berättade, att "hon är en sån som får för sig saker, hon inbillade sig bara". Mitt förtroende för Prefekten var lågt innan och efter dess så var det helt förstört.

      Nästa gång ringde min industri-arbetsgivare och BEORDRADE mig att GENAST skicka till dem alla mina opublicerade forskningsartiklar OCH MIN PRIVATA LAPTOP. Jag ville förstås be dem fara år helvete, men sa istället lugnt: "de ingår inte". Jag fakturerar alltid enligt en fast prislista på mina konsult-tjänster, så de kan inte få gratis någonting, som är en potentiell guldgruva.

      För drygt ett år sedan ville min industri-arbetsgivare komma hem till mig och granska arbetsmiljön, eftersom jag jobbar åt dem på distans. Det såg ut som fanskapet filmade i smyg, han "skannade av" bokhyllorna med sin väska, vilket både jag och kompisen Jar-Jar Binks såg.

      Två månader senare sa "inspektörn", at han MÅSTE FÅ KOMMA OCH INSPEKTERA "LITE TILL" och göra sedan en ny inspektion varannan månad. Men att jag kunde slippa, om jag startade ett eget aktiebolag. Men sedan kom coronan och det kunde inte bli några fler inspektioner, pga smittorisken. Vem vet hur många som hade kunnat komma nästa gång och vända upp och ner på hela stället, i jakten på nya instrument-modeller (de var täckta med presenningar när "inspektören" var här.

      Radera
    2. Hej.

      Beklargar allt som händer dig. Men dina långa skrönor i kommentarerna är det nog ingen som orkar läga.... Speciellt när du skriver helt off topic....

      Familjeliv eller flashback är nog mer lämpat om du behöver dryfta det privata och personliga när du krisar.

      Radera
    3. För övrigt. Du brukar lämna ut rätt mycket personlig information i dina "krönikor". Om jag hade orkat skulle jag antalgliten väldigt enkelt kunna identifiera den som är bakom alla dina inlägg. Så du bör tänka på att alla hemliga identiteter med mera bygger på att du inte beter dig som en tonåring och lämnar ut dina livsdetaljer i långa texter.

      Radera
    4. Helt off topic? Jag är väldigt orolig för data-intrång och ville ge exempel på att att det kan finnas både ett ekonomiskt och politiskt intresse att hämta information från någons dator. Det har varit mycket i media om hur lätt det är att läsa någons e-post utifrån.

      Krisade med iraniern? Jag är mest förvånad över det han gjorde och sa.

      Radera
    5. Universitetet gick miste om ca 8 miljoner kronor i industri-pengar, pga att jag sa upp mig och flyttade forskningen därifrån, mycket pga iraniern men det fanns flera som ansåg att min forskning inte passade till universitetet. De blev VANSINNIGT SURA över den förlusten. Men det berodde också på att Prefekten krävde mer pengar än vad industrin gick med på att betala. Jag är inte särskilt orolig av mig, men det kändes bra att komma därifrån. Nu under coronan passar det ju extra bra med distans-jobb och distans-studier.

      Sebastian, du kan väl slå ihop dig med Gargamel i "sura gubbars klubb". Då kanske era magsår slipper gå upp igen.

      Radera
    6. En äldre kvinnlig professor på universitetet uttryckte sig om konflikten mellan mig och "den stackars, mobbade iranierns": "varför får inte Iran ha massförstörelsevapen, när ALLA ANDRA har?". Men har alla det? Sedan förbjöd iraniern mig att säga någonting mer om saken, annars skulle han anmäla mig för mobbning av en utländsk forskare. Ytterligare någon tyckte att vill Iran ha massförstörelsevapen, så ska de naturligtvis få ha det!

      Radera
    7. @marjatta mycket läsvärt, ditt inlägg. Den storyn borde egentligen någon tidning ta upp. Eller varför inte hr bloggaren cornucopia?

      Radera
    8. Marjatta. Det är dock inte första gången du skriver om den där Iraniern här. Vet inte riktigt vad du är ute efter, men det sitter nog djupt i dig och något du ofta tänker på.

      Radera
    9. Tack, Putte och B2B! Jag kom väldigt bra överens med den iranska mannen till en början och hjälpte honom med hans tekniska problem, lånade ut mina privata verktyg till honom och översatte åt honom. Men sedan efter hans fientliga påhopp var jag lite rädd för att bli nerstänkt med någon syra, eftersom det fanns sådant i nästan varje labb, eller kanske få en sko kastad i pannan på nåt av mina seminarier. Men som en säk-medarbetare på min tidigare arbetsplats sa: några av forskarna och doktoranderna på våra svenska universitet och högskolor har en annan agenda, som de flesta av våra beslutsfattare inte har en aning om. Jag hörde senare, att iraniern hade flyttat till USA, där han forskar i biokemi, i landet som han var så arg på! Sedan undrar jag om vissa personer läser nyheter överhuvudtaget, när man hör att "alla länder har massförstörelsevapen". Verkligen?
      Nej, Garga och Sebbe, det farliga kommer först när de nya instrumenten publiceras. Jag har fortfarande lite mätningar kvar att göra, för statistik etc.

      Radera
    10. "Sebastian, du kan väl slå ihop dig med Gargamel i "sura gubbars klubb". Då kanske era magsår slipper gå upp igen." Hahaha

      Radera
    11. "Sura gubbars kräk-klubb för Garga & Sebbe, för att hindra att magsåret går upp igen".

      Radera
    12. Marjatta, skriv gärna ett gästinlägg. Kan säkert bli intressant

      Radera
    13. Marjatta:

      Jag vill inte gå i polemik med dig. Jag tycker bara synd om dig. Du verkar må väldigt dåligt.
      Det är underbart väder (även på Värmdö hoppas jag). Gå ut och njut av solen istället för sitta här.

      Radera
    14. Sebastian. Inte första gången du ställer diagnos på folk helt utan insikt.

      Radera
    15. Nej, så är det inte, även om jag är missnöjd med några människors omdöme och beteende (jag menar inte den här sajten). Jag mår jättebra, särskilt under denna helt underbara påskhelg, när vårfåglarna har kommit och sjunger för fullt. Jag hoppas på rekordvärme i maj och därför ska jag göra iordning poolen, poolvärmepumpen och solfångarna i förväg, för att inte missa försommarens värmebölja i år. Jobba kan jag göra när det regnar!
      "Sebbe lille", slappna av och njut, ta paus från kräk-klubben, det är VÅR!

      Radera
    16. Apropå känsliga uppgifter som har läckt ut på nätet, ni har väl följt den finska katastrofen med undermåligt dataskydd hos psykoterapi-centret "Vastaamo", som finns på 20 orter i Finland (namnet kan översättas som ett ställe där man får svar). Sajten hackades och personer, som mådde psykiskt dåligt, fick sina patientjournaler utspridda på nätet. Dessutom utpressades de på pengar, 4.5 miljoner kronor och deras kortuppgifter spreds likaså och deras bankkort tömdes på pengar. "Vastaamo" går nu i konkurs. Det finns mycket att läsa om det i finska media. Jag anser att det ofta är bättre att t ex storstäda, klippa gräsmattan eller styrketräna etc. än gå i någon terapi.

      Radera
    17. Antagligen fejk. En arbetsgivare får helt enkelt inte "min industri-arbetsgivare komma hem till mig och granska arbetsmiljön, eftersom jag jobbar åt dem på distans.". Finns inte ett enda företag i Sverige sim skulle våga göra en sådan sak.

      Sedan är det forskaren som äger forskningen i Sverige. Om den är gjort genom ett universitet. Alltså inte universitetet eller ett företag. Spelar ingen roll om företaget har sponsrat och det vet dem.

      Radera
    18. Så här skrev min arbetsgivare och det är i sig inget konstigt, men att starta eget passar varken min livssituation eller ekonomi.

      "Har tittat på anställningsfrågor för (mitt namn). Har följande tankar om de juridiska delarna:

      1. Arbetsmiljö

      Som arbetsgivare blir vi skyldiga att se över (mitt namn) arbetsmiljö och vi har också ansvar över den. Det innebär ju att vi dels kan behöva göra kontroller att arbetsmiljön fungerar och är säker men också att vi kan bli skyldiga att bistå med utrustning hon behöver för att utföra arbetet på ett ergonomiskt och säkert sätt.

      2. Utrustning för arbetet

      Som nämnt ovan så är vi skyldiga att tillhandahålla utrustning för att hon ska kunna utföra sitt arbete i hemmet. Vet inte hur det ser ut nu, det kanske redan är så att vi lånar ut något verktyg till henne eller så kanske det inte krävs speciellt mycket utrustning alls. Oavsett blir det en skyldighet vi ådrar oss. Om hon även använder egen utrustning bör det stå med i avtalet vad vi tillhandahåller och vad som krävs för arbetets utförande.

      3. Försäkringar

      Ska (mitt namn) vara arbetstagare hos oss så ska hon omfattas av våra försäkringar under hennes arbete, vilket är viktigt för vår del om hon skulle skada sig i hemmet under arbetet.

      4. Kostnader för el/internet/telefoni

      Vi bör avtala om vi eller hon ska stå för el, internet och telefonikostnader i samband med arbetet. Normalt är väl att om arbetet kräver det så ska vi stå för det eller en del av det.

      5. ”Hyran”/lokalkostnad på 3000kr

      Vi får svårt att ge henne ersättning för hennes lokalkostnad/”hyra” enligt anställningsavtal utan att hon får inkomst-skatta på det. Ett alternativ kan vara att skriva ett separat hyresavtal, men då tillkommer ju en del spännande saker om vi ska ha tillgång till det utrymmet hon hyr ut och ha möjlighet att kontrollera det.

      Som jag ser det så är det ganska ofördelaktigt för vår del att ha henne som distansanställd, det skulle istället vara väldigt mycket lättare om hon i egen firma fakturerade oss timvis samt får lokalkostnaden och vi köpte in ”monteringstjänsten” av hennes företag. Nackdelen för henne är förstås det extra arbetet som tillkommer när man har egen firma med redovisning och bokföring osv. Vi slipper då skyldigheterna som tillkommer med att ha henne som anställd, men det är förstås inte säkert att hon är villig att gå med på detta.
      ----------------------------------------------------------------------
      Om vi nu under coronan skulle tillämpa samma regler på alla distansanställda arbetare, skulle det kanske bli väldigt många nya företag?

      Jag kommer att tacka nej till mer jobb efter den aktuella beställningen.

      Radera
    19. "monteringstjänsten" ???? Den gubben borde komma ut från kontoret lite oftare.

      Radera
  3. Så är det WhatsApp och Instagram också?(ägda av Facebook)

    SvaraRadera
  4. Böterna kan bli 4% eller max 20 miljoner Euro, vilket som är högst, slår Facebook i taket? Lite märkligt att myndigheters böter max kan uppgå till 10 miljoner kronor, man kan undra varför denna enorma skillnad finns.

    SvaraRadera
    Svar
    1. Det är minst 20 miljoner euro, inte max

      Radera
    2. Japp, fel av mig, jag pudlar. Men myndigheter kommer undan riktigt lindrigt i förhållande.

      Radera
    3. Det gör väl detsamma om staten betalar 10 miljoner eller 10 biljoner till sig själv?

      Radera
    4. Fast kommunen kanske inte tycker det är så kul att betala 10 biljoner till staten.

      Komminvånarna skulle knappast gilla den nätta kommunalskattehöjningen

      Radera
    5. Fast kommunen kanske inte tycker det är så kul att betala 10 biljoner till staten.

      Komminvånarna skulle knappast gilla den nätta kommunalskattehöjningen

      Radera
    6. Kommunernas självbestämmande sträcker sig inte mycket längre än att besluta om vilket kaffe de ska dricka inom byråkratin.

      Radera
  5. Enligt citerad källa ovan är det 1'092'140 svenska konton som är drabbade:
    https://twitter.com/UnderTheBreach/status/1349674272227266563

    SvaraRadera
  6. Enligt Facebook så är detta data gammalt och läckan fixades redan 2019:
    https://twitter.com/Liz_Shepherd/status/1378398417450377222

    Dock så kan man ju ställa sig frågan hur många som bytt namn, stad och telefonnummer sedan 2019...

    SvaraRadera
  7. OM nummer och e-post är kändra ä'r SMS som återställning är i princip mindre säkert än enfaktor. Tyvärr kortsluter många tjänster som Facebook tvåfaktorautenticering via google eller andra tjäsnter och skickar SMS samtidigt.

    Antagligen för att gemene FB användare super bort tvåfaktorappen lit för ofta. Och för FB är att man klickar sig runt och drar in reklam viktigare än din säkerhet eller integritet :)

    SvaraRadera
    Svar
    1. För övrigt kan jag rekommendera Authy som är en grym applikation för hantera tvåfaktorkoder.

      Radera
  8. Går det att kolla om ens mailadress är med i läckan? Det är väl säkrast att förmoda det och byta, men jag misstänker att det inte är så lätt att göra det på vissa plattformar.

    SvaraRadera
    Svar
    1. Bästa sidan jag har hittat får sådant. Mina mejladdresser är med 13 gånger.
      https://haveibeenpwned.com/

      Radera
    2. Lite läskigt att mata in sin mailadress eller passord för att kolla om de finns med. Man måste verkligen lita på den sajten för att göra det.

      Radera
    3. Min slaskmail finns med.

      Radera
    4. @Svinto Jo, man får vara extremt försiktig med sådant. Man får överväga det mer än en gång. Men nyfikenheten tar ofta över. Jag har aldrig funnits med på sådana listorna, noll träffar, men det kommer väl ...

      https://monitor.firefox.com/

      Radera
    5. Skriver du in ett riktigt lösenord där, måste du sedan rimligen behandla det som för evigt förbrukat.

      Radera
    6. Själv visade det sig ett par(gamla) epostadresser fanns med i flera läckor, inte den viktigaste men ändå. Bara att det är fullt möjligt att ens uppgifter inkl kanske mobilnr är ligger ute på hackersajter känns inte bra.

      Radera
    7. Skarpa lösenord ska man givetvis aldrig skriva in på sådana sidor. Angående mejladdressen jag använder för att logga in med så ser jag den redan som röjd.

      Radera
    8. E-postadresser, kan det verkligen vara en känslig personuppgift? Min arbetsgivare använder tom mitt för- och efternamn i företagets epostadress som ligger ute på nätet tillsammans med ett telefonnummer. Minns inte att jag lämnat samtycke till mitt namn som torde vara personuppgift, men ska man hårdra det så kan det vara tveksamt avseende gdpr.

      Man säger att hårda straff inte har någon effekt men noterar att vissa myndigheter ser epostadresser som väldigt känsliga. De upplever sig tryggare att skicka dokument innehållande e-postadresser via postnord istället för mejl, precis som det skulle vara tryggt att det hamnar rätt eller ens kommer fram. Hårda GDPR straff visar därmed att straffvärde har preventiv effekt, vi kanske inte längre ens ska använda postadresser utan för säkerhets skull återgå till pappersbrev.

      Radera
    9. Man kan ju använda en annan återställnings-epost om man skulle behöva (jag skriver ner lösenord på lappar). Jag har två stycken epost som återställer varandra, om det skulle behövas. Jag anger aldrig mobilnummer (ja förutom till banken då).

      Radera
    10. Jag är så (överdrivet) försiktig så att jag brukar oftast logga in på banken från min laptop, och med bank id på kort

      Radera
    11. Det finns även HPI Identity Leak Checker:
      https://sec.hpi.de/ilc/search?lang=en

      Bakom den sidan ligger Hasso Plattner Institute, som är kopplat till University of Potsdam.

      Radera
  9. Helt offtopic. @cornucopia Det förefaller mig att dina inlägg aldrig dyker upp på stockblogs.se längre?

    SvaraRadera
  10. Google Authenticator känns inte som det man vill ha i sin device, när man läser senaste månadens kommentarer på PlayStore.

    SvaraRadera
    Svar
    1. Microsoft authenticator är gratis tror jag. Vi är tvungna att köra den i jobbet så jag kör den privat också.

      Radera
    2. Då uppstår nästa problem om mobilen blir stulen eller går sönder.

      Radera
    3. "Överför konton"->"Exportera QR-kod" -> ta ett foto -> skriv ut/spara/kopiera till säker plats.

      Radera