Millioner er blevet ramt: Her er den ubehagelige lære af det store Facebook-hack

Deling af dine data via sociale netværk kan blive deling af dine data med resten af klodens internet-brugere. Det har vi fået millioner af beviser for i den seneste tid. Derfor bør du lære digitalt selvforsvar.
Henrik Larsen, chef for DKCERT
Henrik Larsen, der er chef for DKCERT, skriver hver måned på Computerworld Online om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.

To sociale tjenester har fået nogle gevaldige hug i mellemgulvet.

Google+ er blevet lagt i graven på grund af problemer med datasikkerheden, og Facebook har erkendt, at 29 millioner konti er blevet kompromitteret.

Googles sociale tjeneste har ikke fået en voldsom pressedækning, på trods af, at det angiveligt været muligt, at eksterne kunne tilgå oplysninger som navn, e-mail, bopæl, arbejde eller køn fra profilerne på tjenesten.

Dette sikkerhedsproblem har ifølge flere kilder stået på gennem adskillige år, uden at Google har gjort noget ved det. Tjenestens lave popularitet har utvivlsomt spillet ind, så de helt store overskrifter ikke er blevet fundet frem fra skuffen.

Facebook har derimod været på alles læber i den senere tid, og selv om det ikke er første gang, at tjenesten har placeret sig i rampelyset, så er der nu ’kommet lig på bordet’. I dette tilfælde i form af stjålne profildata fra millioner af konti.

En anden episode, hvor Facebook tiltrak sig en del opmærksomhed, var i forbindelse med at analysevirksomheden Cambridge Analytica erhvervede data fra 50 millioner brugere. Data, der angiveligt er blevet anvendt i politisk sammenhæng i forbindelse med både Trumps valgkampagne og Brexit-kampagnen.

Alle er de eksempler på, at det man deler på sociale medier, deler man med langt flere, end man måske lige havde forestillet sig.

GDPR, bøder og datatilsyn

Der er ikke sat tal på hvor mange danske konti, der er ramt, men personligt kender jeg flere, der er blevet logget ud af deres profil, hvilket er et symptom på, at der har været problemer. Det norske datatilsyn har vurderet, at der er tale om fem millioner konti i Europa, men Facebook har ikke kommenteret det danske antal.

I disse GDPR-tider er dette en sag, der kan få økonomiske konsekvenser, da der er kommet regler om betydelige bøder i forbindelse med firmaer, der ikke opbevarer personfølsomme data korrekt. Foreløbig er bolden dog spillet over på den irske banehalvdel, da Facebook har hovedkontor i landet. Derfor ligger tilsynsmyndigheden hos det irske datatilsyn.

Der har også været forskellige teorier fremme om hvem, der kan have interesse i data fra Facebook-profiler, men foreløbig kan vi bare gætte, mens Facebook og det amerikanske forbundspoliti (FBI) undersøger sagen.

Selvforsvar i en digital verden

Den lære vi kan tage med fra disse episoder er, at vi må erkende at det, der deles via sociale medier, det deler vi ikke kun med vores venner, men i princippet med alle. Det gælder også annoncesælgere eller analysefirmaer, der producerer politisk kampagnemateriale.

Selv om de fleste godt ved, at der er en sikkerhedsrisiko forbundet med deling af data via sociale netværk, så er der måske en tendens til, at man glemmer risikoen over tid.

Men hvis din konto først bliver kompromitteret, så er der for det første nem adgang til andre konti, som er forbundet med profilen. For det andet gemmer vi masser af personlige oplysninger, billeder og samtaler, der naturligvis falder i hænderne på en angriber og potentielt resten af verdens internet-brugere.

Den sikre vej ud af dataindsamling er selvfølgelig at slette sin konto. De fleste har dog stor glæde af at benytte eksempelvis Facebook, hvilket gør denne metode til en drastisk handling, der ikke tiltaler flertallet. Hvis du vælger denne vej, kan du på websiden accountkiller.com få hjælp til sletning af konti.

Hvis du er blandt den 2,5 millioner danskere, som vil fortsætte med at have en Facebook-konto, er det en god idé, at have dataindsamlings-perspektivet i tankerne, før du trykker på Like- eller Del-knappen.

Del kun det, der kan tåle at blive delt.

Hvis det er gået galt, skal du altid ændre dine adgangskoder, når den tjeneste du benytter, er blevet kompromitteret. Det er ligeledes vigtigt, at du ikke anvende de samme adgangskoder på tværs af tjenester. Hvis en adgangskode falder i de forkerte hænder, vil den med stor sandsynlighed blive afprøvet i andre sammenhænge. Anbefalingen til et stærkt password er i dag på 12 tegn. 

DKCERT anbefaler desuden, at du altid anvender to-faktorsikkerhed, hvor det er muligt, hvilket det er på eksempelvis Facebook.

Du bør også tage stilling til dine privatlivsindstillinger, hvor du kan regulere privacy- og sikkerhedsniveauet. På Facebook kan du eksempelvis ændre indstillingerne for, hvilke reklamer du vil se, om dine private oplysninger skal være synlige eller fravælge, at apps og websites har adgang til alle eller nogle af dine oplysninger.

Oprindelig bragt på Computerworld Online den 26. oktober 2018.