I början av april uppmärksammades det att information från 533 miljoner Facebook-användare hade lagts ut för vem som helst att ladda ned. En dryg vecka senare framkom det att en samling som säger sig innehålla information från 500 miljoner LinkedIn-konton också finns att köpa. Samma dag kom också nyheten att en (i jämförelse en liten) samling med uppgifter från 1,3 miljoner användare i Clubhouse hade publicerats.
Det gemensamma med dessa tre personuppgiftsamlingarna är att informationen troligen har samlats in genom det som kallas ”scraping”. Det kan enkelt beskrivas som att uppgifterna har samlats in genom automatiserade verktyg som systematiskt anropat ett API eller bläddrat bland webbsidorna lagrat den information som den funnit. Det har sannolikt inte skett något intrång (i bemärkelsen att någon ”hackat” systemen för att bereda sig obehörig åtkomst) i datasystemen. Om det sedan kan anses vara rimligt att det ska gå att samla in information från drygt en halv miljard konton utan att det begränsas av tjänsteleverantören lämnas här utan kommentar.
Informationen som samlats in är sådan som varje användare själv lagt upp i tjänsten och det kan handla om namn, telefonnummer, mejladress, intressen m.m., det vill säga sådant som normalt läggs upp i en profil. I många fall har åtkomsträttigheterna till uppgifterna inte ändrats i tjänsten av användaren, så de uppgifter som skrivits in har varit publikt åtkomliga. Det är viktigt att reflektera över att det är mer eller mindre omöjligt för individer och organisationer att behålla kontrollen över den information som man en gång har publicerat i sociala medier, likaså hur den används av andra.
Samlingar med personlig information kan användas av kriminella grupper och statsunderstödda grupperingar för att genomföra kartläggning av tänkbara mål och utgöra en grund för social manipulation i form av t.ex. spearphishing. Genom att kombinera flera källor med data går det att få fram en mer heltäckande bild och möjlighet till bättre kartläggning.
Det finns fall där insamling av personlig information som använts för spearphishing och resulterat i flera allvarliga intrång och angrepp mot tjänsteleverantörer inom it-infrastruktur och it-drift, för att i nästa steg ge sig på deras kunder. Det är därför viktigt att både som enskild privatperson och medarbetare vara observanta på att stora läckor av personlig information kan resultera i angreppsförsök.
För att minska risken för att din känsliga information kommer på vift så bör du vidta följande åtgärder på sociala medier:
- Minimera dina uppgifter: Fundera över om ditt telefonnummer, födelsedatum, din mejladress till arbetet eller släktskap behöver finnas i tjänsten. För att minska riskerna så bör du radera den information du avgör är överflödig i de tjänster du redan nu använder dig av och skriv inte in den när du börjar använda en tjänst.
- Minska exponeringen: Gå in i säkerhetsinställningarna för varje tjänst du använder dig av och noggrant gå igenom hur din information exponeras, t.ex. kan du välja att viss information bara är synlig för dig och ev. närmsta vänkrets, men att den inte är offentlig. Detta ska inte bara göras för dina personliga uppgifter, utan också för i vilken omfattning dina inlägg blir synliga för andra. Var medveten om att oavsett säkerhetsinställningarna så kan tjänsteleverantören ta del av det du skriver in eller laddar upp.
- Tänk på känsligheten: Innan du gör inlägg på de sociala medierna så gör en bedömning om innehållet avslöjar känsliga detaljer för dig eller för andra personer. Tidpunkter och precisa platser kan ibland utgöra sådana uppgifter, men även detaljer som är i bakgrunden av en bild. Utgå från att information som du har lagt ut på nätet kommer alltid att finnas kvar på nätet.
- Hindra positionering: stäng av automatisk geotaggning av bilder i din mobiltelefon så att denna information inte sprids med bilder som publiceras. Tänk efter innan du använder program och tjänster som använder platsinformation. Inaktivera GPS-funktionen och andra funktioner för geografisk positionering.
För att minska risken för att känslig information ska användas för att genomföra lyckade angrepp mot organisationer bör ni vidta följande åtgärder:
- Ha en kontinuerlig omvärldsbevakning över läckor av personlig information där ni misstänker att anställdas personliga eller arbetsrelaterade uppgifter har ingått – detta för att proaktivt kunna gå ut med varningar om hotet från exempelvis kartläggning och spearphishing.
- Var observant på när CERT-SE, olika säkerhetsvårdande myndigheter eller säkerhetsbloggar och cybersäkerhetsföretag går ut med varningar om pågående phishingkampanjer.
- Utbilda er personal i vilken information om er som arbetsgivare och verksamhet som kan vara känslig i exempelvis kartläggning-, phishing- och utpressningssyfte och där med inte borde läggas upp i online-tjänster och sociala medier.
- Inför proaktiva säkerhetsåtgärder mot phishing – så som utbildning av personal om säker mailhantering och införande av olika spam-filter – och effekterna av ett lyckat intrång – så som segmentering av system och backup av data till skydd mot ransomware.