50 millioner digitale nøgler gav hackere adgang til både Facebook og Tinder EU går ind i sagen om et gigantisk læk af digitale nøgler fra Facebook, der også gav adgang til blandt andet datingappen Tinder. En bøde kan nå op på over 10 milliarder kroner.

Datatilsynet i Irland har åbnet en formel undersøgelse af Facebook, der indrømmer, at hackere har stjålet de digitale nøgler til 50 millioner brugeres profiler med mulighed for at overvåge og kontrollere kontoen, fuldstændig som var det deres egen.



»Det er den første sag af den karakter, der bliver åbnet, efter at EU’s nye regler om databeskyttelse er trådt i kraft«, siger Graham Doyle, kommunikationschef i det irske datatilsyn, der fører tilsyn med Facebooks europæiske hovedkvarter.

EU-reglerne kræver, at Facebook og alle andre, der behandler personlige oplysninger, sikrer brugernes tryghed og værner om de personlige data. Tilsynet skal nu tage stilling til, om Facebook har gjort nok for at sikre brugernes data mod hackere. Og det kan godt komme til at tage noget tid, siger Graham Doyle.

»Teknisk er sagen kompliceret, og rent juridisk har vi ingen praksis at læne os op ad«, siger han.

Hvis tilsynet finder, at Facebook har sløset med sikkerheden, kan det udskrive en bøde på op til 4 procent af koncernens omsætning i sidste regnskabsår. The Wall Street Journal har beregnet, at bøden kan komme op over 10 milliarder kroner.

Indbruddet, der blev opdaget i sidste uge, regnes for det værste i Facebooks historie. Først på året afslørede en whistleblower i Cambridge Analytica, at selskabet havde fået adgang til andre 50 millioner facebookkonti og brugte oplysningerne til at manipulere amerikanske vælgere op til valget af Donald Trump.

Skandalen, der kom frem, før EU-reglerne trådte i kraft i maj, opstod, fordi Facebook gav tilladelse til at høste data til forskning i psykologisk profilering og undlod at sikre sig, at data blev slettet, da forskningen blev solgt til Cambridge Analytica.

Den nye sag er derimod et regulært indbrud. Og hackerne har været i stand til at stjæle 50 millioner digitale nøgler, der ikke bare giver adgang til brugernes profiler på Facebook. De kan – eller har i hvert fald kunnet – logge ind på alle andre tjenester, der tillader login via Facebook. Det gælder for eksempel Facebooks egen Instagram, men også Pinterest, Spotify, Tinder og mange andre.

En talsmand for datingappen Tinder siger til CNN, at man endnu ikke har fundet tegn på, at hackerne har benyttet sig af muligheden for at gå ind på de ramte brugeres datingprofil og historik. Men arbejdet med at finde frem til ramte brugere hæmmes af manglende samarbejde fra Facebooks side.

»Hvis Facebook ville være mere åben og dele listen over berørte brugere, ville det være overordentlig nyttigt for vores undersøgelse«, siger Tinders talsmand.

Facebook har indtil videre ikke fundet tegn på, at hackerne har benyttet sig af muligheden for at gå ind på andre tjenester, skriver Guy Rosen, vicepræsident for produkthåndtering, på Facebooks hjemmeside. Han forsikrer, at hullerne nu er lukket, og at adgangsbilletterne er nulstillet på 90 millioner konti – ikke kun de 50 millioner, hvis digitale nøgler er blevet stjålet, men også 40 millioner andre, som har brugt den funktion, der er blevet hacket.

De brugere, der er ramt eller er i risikozonen, vil opleve, at de bliver afkrævet brugernavn og adgangskode, næste gang de går på Facebook.

Sender tiggerbreve i ofrenes navn

Facebook annoncerede datalækket for en uge siden, men Facebook ved stadig ikke, hvem hackerne er, og hvad deres formål har været.



The Times of India rapporterede fredag om adskillige brugere, der var blevet hacket. De fortalte, at hackerne var gået ind på Messenger, Facebooks chattjeneste, og havde bedt deres venner om at sende penge.

En af de ramte er Zorawar Kalra, der ejer en restaurantkæde. Han har de fleste af sine 1.800 ansatte på vennelisten. Han har desuden 10.000 følgere på sin personlige facebookside og 2,5 millioner følgere på virksomhedens.

»Der er en meget alvorlig sag, som der bør gøres noget ved øjeblikkeligt«, siger Kalra til avisen.

Ifølge The Times of India begyndte tiggerbrevene at cirkulere torsdag – flere dage efter at Facebook forsikrede, at de mange konti var sikret og hullerne lukket.

Det vides ikke, om den ondsindede overtagelse af indiske konti har forbindelse til sidste uges hack. Avisen har stillet en række spørgsmål til Facebook, men fik blot den besked over telefonen, at »alt er godt«.

Eksperter betegner imidlertid hacket som en »katastrofe« – ikke bare for Facebook selv, men for hele internettet.

»Det mest bekymrende er, hvad dette hack har vist os: At selv en virksomhed med Facebooks magt og ressourcer kan blive frarøvet personlige nøgler, der giver adgang til millioner af konti over hele internettet«, skriver erhvervsmagasinet Forbes.

Over 2 milliarder mennesker kloden over har betroet deres data til Facebook i forventning om, at Facebook ville være i stand til at beskytte dem – ligesom de stoler på Google og andre techleverandører.

»Men kan vi stole på, at Facebook og deres rivaler kan beskytte vores onlinesikkerhed? Dette hack antyder, at svaret kan være nej«, skriver Forbes.

Der er derfor meget på spil, når det irske datatilsyn engang kommer med sin afgørelse. En velvoksen bøde kan tvinge techvirksomhederne til at investere mere i sikkerhed. Omvendt kan et rap over fingrene sætte forbrugernes tillid til nettet over styr.



»Indsatserne er høje, og denne sag kan blive det definerende øjeblik for GDPR (den europæiske databeskyttelse, red.)«, siger Lukasz Olejnik, konsulent i cybersikkerhed, til The Guardian.

Andre peger imidlertid på, at det irske datatilsyn ikke plejer at gå hårdt til de techvirksomheder, der slår sig ned i landet.