Ηταν παραμονή Χριστουγέννων όταν ο Ισραηλινός ερευνητής ασφαλείας δικτύων Αλον Γκαλ ανακάλυψε ότι είχαν υποκλαπεί οι διευθύνσεις ηλεκτρονικού ταχυδρομείου που αντιστοιχούσαν σε εκατοντάδες εκατομμύρια χρήστες του Twitter. Μελετώντας τα διαθέσιμα στοιχεία που αναρτήθηκαν σε διαδικτυακό φόρουμ για χάκερ, ο ερευνητής κατέληξε την περασμένη Τρίτη στο συμπέρασμα ότι είναι αυθεντικά και αφορούν τουλάχιστον 235 εκατομμύρια χρήστες του μέσου κοινωνικής δικτύωσης. Δεν έχει διευκρινιστεί αν σε αυτούς περιλαμβάνονται και Ελληνες, αλλά είναι πολύ πιθανό εάν επαληθευθεί το μέγεθος της διαρροής.
Το περιστατικό φαίνεται πως μπορεί να σχετίζεται με μια ευπάθεια στα συστήματα του Twitter, την οποία είχε δημοσιοποιήσει το μέσο κοινωνικής δικτύωσης σε ανακοίνωσή του τον περασμένο Αύγουστο. Η συγκεκριμένη ευπάθεια προέκυψε κατά την αναβάθμιση του κώδικα του Twitter τον Ιούνιο του 2021 και έδινε τη δυνατότητα σε κάποιον να αναζητήσει ένα λογαριασμό χρήστη εισάγοντας στη μηχανή αναζήτησης της πλατφόρμας έναν αριθμό τηλεφώνου ή ένα email. Η ευπάθεια είχε γίνει γνωστή στο Twitter ήδη από τον Ιανουάριο του 2022, ωστόσο έξι μήνες αργότερα αντιλήφθηκαν στο μέσο κοινωνικής δικτύωσης ότι κάποιος είχε καταφέρει να εκμεταλλευθεί αυτή την τρωτότητα και προσπαθούσε να πουλήσει τα δεδομένα που είχε υποκλέψει. Τον Δεκέμβριο η Αρχή Προστασίας Δεδομένων της Ιρλανδίας ανακοίνωσε ότι ξεκίνησε έρευνα για πιθανή παραβίαση του Γενικού Κανονισμού Προστασίας Προσωπικών Δεδομένων (GDPR) έπειτα από δημοσιεύματα για την προηγούμενη διαρροή των στοιχείων 5,4 εκατομμυρίων χρηστών. Δεν αποκλείεται ο έλεγχος της ρυθμιστικής αρχής να περιλάβει πλέον και τη νέα υπόθεση.
Οπως έχει επισημάνει σε ανακοίνωσή του ο Αλον Γκαλ, μέχρι στιγμής δεν έχει διαπιστωθεί διαρροή και κινητών τηλεφώνων χρηστών του Twitter. Ωστόσο ο ίδιος δεν αποκλείει την πιθανότητα να κυκλοφορεί και ξεχωριστή βάση δεδομένων με αυτά τα στοιχεία. Ο δράστης ή οι δράστες είχαν επιχειρήσει να εκβιάσουν τον νέο ιδιοκτήτη του Twitter, Ελον Μασκ, ζητώντας χρήματα για να μην τα δημοσιοποιήσουν και κληθεί να πληρώσει πρόστιμο για παραβίαση του GDPR, υπενθυμίζοντάς του τι συνέβη σε αντίστοιχη περίπτωση με το Facebook.
Το περιστατικό φαίνεται πως σχετίζεται με ευπάθεια στα συστήματα, η οποία προέκυψε κατά την αναβάθμιση του κώδικα του Twitter.
Ο δικηγόρος Στέργιος Κωνσταντίνου, τακτικό μέλος της Homo Digitalis, μη κυβερνητικής οργάνωσης που υπερασπίζεται τα δικαιώματα χρηστών του Διαδικτύου στην Ελλάδα, επισημαίνει στην «Κ» ότι ως προσωπικό δεδομένο θεωρείται οτιδήποτε μπορεί να μας ταυτοποιήσει άμεσα ή έμμεσα. Εξηγεί ότι ακόμη και η διαρροή των emails καθώς και των ονομάτων χρηστών ενέχει κινδύνους. «Μπορεί να αφήσει εκτεθειμένο τον χρήστη σε πολλά επίπεδα, όπως σε στοχευμένες επιθέσεις παραπλάνησης μέσω της αποστολής εξατομικευμένων απατηλών μηνυμάτων», λέει. Συμπληρώνει ότι υπάρχει και η πιθανότητα αποκάλυψης των προσώπων που βρίσκονται πίσω από ανώνυμους λογαριασμούς, οι οποίοι σε κάποιες περιπτώσεις μπορεί να είναι ακτιβιστές που για λόγους ασφαλείας προστατεύουν την ταυτότητά τους.
Το 2021 μια αντίστοιχη διαρροή είχε προκύψει και στο Facebook. Τότε είχε γίνει γνωστό ότι διέρρευσαν προσωπικά δεδομένα 533 εκατομμυρίων χρηστών από 106 χώρες. Στη σχετική λίστα που είχε δοθεί στη δημοσιότητα περιλαμβάνονταν ονοματεπώνυμα, ημερομηνίες γενεθλίων, emails και αριθμοί κινητών τηλεφώνων. Ανάμεσά τους βρίσκονταν και δεδομένα 617.722 ελληνικών λογαριασμών. Η «Κ» είχε μιλήσει τότε με έναν Ελληνα χρήστη τα στοιχεία του οποίου είχαν διαρρεύσει και είχε επιβεβαιώσει ότι όντως το κινητό τηλέφωνό του (το οποίο κανονικά δεν ήταν δημόσια προσβάσιμο) υπήρχε στη σχετική λίστα.
Σύμφωνα με ανακοίνωση του Facebook, η διαρροή ήταν αποτέλεσμα μιας ευπάθειας η οποία διορθώθηκε τον Σεπτέμβριο του 2019. Ανακοίνωση για εκείνη τη διαρροή είχε εκδώσει και η ελληνική Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, αναφέροντας ότι, σύμφωνα με τους ισχυρισμούς του Facebook, η εξόρυξη των στοιχείων πραγματοποιήθηκε πριν από την έναρξη εφαρμογής του Γενικού Κανονισμού Προστασίας Δεδομένων. Τον περασμένο Νοέμβριο, πάντως, η Αρχή Προστασίας Δεδομένων της Ιρλανδίας επέβαλε πρόστιμο 265 εκατομμυρίων ευρώ στη Meta, μητρική εταιρεία του Facebook.
