Zwolniony w 15 minut przez niewidzialne dane. Czego uczy nas afera "Burger King Foot Lettuce"?

Zwolniony w 15 minut przez niewidzialne dane. Czego uczy nas afera "Burger King Foot Lettuce"?

W internecie ta historia żyje jako jeden z najbardziej znanych memów, a dziwny, przeciągły głos lektora czytającego frazę „Number 15: Burger King foot lettuce” zna chyba każdy millenials i przedstawiciel pokolenia Z. Dla przeciętnego internauty to tylko zabawna anegdota. Dla mnie, jako człowieka od analizy ryzyka i ochrony danych, to jedno z najlepszych, najbardziej brutalnych Case Studies z zakresu OSINT-u (białego wywiadu) i cyfrowego śladu.

Jak to możliwe, że ktoś publikuje w sieci w 100% anonimowe – w swoim mniemaniu – zdjęcie, a kwadrans później traci pracę? Zobaczmy, jak wygląda zderzenie braku świadomości z twardymi danymi.

Iluzja perfekcyjnej anonimowości

Zacznijmy od faktów. Anonimowy pracownik amerykańskiej sieci Burger King wrzuca na popularne forum obrazkowe (4chan) zdjęcie. Kadr jest prosty: widać na nim pojemniki z sałatą i dwie stopy w butach, które w tych pojemnikach bezczelnie stoją. Podpis brzmiał: „To sałata, którą jecie w Burger Kingu”.

Pracownik był absolutnie pewien, że jest bezkarny. Zrobił przecież wszystko „zgodnie ze sztuką” ukrywania tożsamości. Na zdjęciu nie było widać jego twarzy. Nie było widać plakietki z imieniem. Nie było nawet charakterystycznego elementu wystroju lokalu, który pozwoliłby na szybką identyfikację. Tylko jedzenie i buty.

Wydawałoby się, że to zbrodnia doskonała. Nikt go nie znajdzie.

A jednak, internetowa społeczność namierzyła go w niespełna 15 minut.

EXIF, czyli to, czego nie widzą oczy

Pracownika nie zdradziła „ludzka” pomyłka w kadrze, ale technologia, o której istnieniu najprawdopodobniej nie miał pojęcia. Zdradziły go metadane.

Smartfon, którym zrobiono zdjęcie, domyślnie zapisuje w pliku tzw. dane EXIF. To ukryty pakiet informacji dołączany do każdej fotografii. Oprócz danych o modelu aparatu, czasie naświetlania czy dacie zrobienia zdjęcia, telefony bardzo często zapisują tam coś jeszcze: dokładne współrzędne GPS.

Współczesne media społecznościowe (jak Facebook czy Instagram) trochę nas pod tym kątem rozleniwiły. Kiedy wrzucasz tam zdjęcie, ich algorytmy dla bezpieczeństwa i oszczędności miejsca zazwyczaj „czyszczą” plik z danych EXIF przed publikacją. Przyzwyczailiśmy się, że system chroni nas sam.

Problem polega na tym, że autor zdjęcia nie wrzucił go na nowoczesnego, wygładzonego Instagrama. Wrzucił je na starego, surowego 4chana. A ten serwis przyjął plik dokładnie takim, jakim stworzył go telefon pracownika. Ze wszystkimi współrzędnymi.

Procedura identyfikacji i zwolnienie

Zamiast bawić się w detektywów, użytkownicy forum po prostu zajrzeli w „bebechy” pliku. Znacznik GPS ze zdjęcia nie pozostawiał złudzeń: wskazywał konkretną restaurację Burger King w Mayfield Heights w stanie Ohio.

(W ramach kronikarskiego obowiązku dodam, że niektórzy analitycy tego przypadku twierdzą, iż dodatkowym tropem był kod QR widoczny na jednej z paczek w tle, jednak to dane lokalizacyjne były przysłowiowym gwoździem do trumny).

Co działo się dalej? Czysta, proceduralna egzekucja.
Internauci zadzwonili do menedżera tej konkretnej placówki z informacją, co właśnie pojawiło się w sieci. Menedżer nie musiał wzywać FBI. Znał grafik. Wiedział, kto dokładnie był wtedy na zmianie (zazwyczaj to zaledwie kilka osób). Wystarczyło spojrzeć na to, kto nosi buty widoczne na zdjęciu.

15 minut od kliknięcia „wyślij”, autor posta przestał być anonimowym trollem, a stał się bezrobotnym.

Morał dla biznesu: Anonymity is dead

Ta historia to idealna lekcja dla każdego pracownika, menedżera i działu bezpieczeństwa.

Możliwość identyfikacji w XXI wieku wcale nie wymaga imienia, nazwiska ani numeru PESEL. Czasami wystarczy unikalny układ tła. Wystarczy log z routera. Wystarczą metadane zaszyte w pliku JPG. Twoi pracownicy codziennie operują na ogromnych zbiorach danych, robiąc zrzuty ekranu, przesyłając zdjęcia z home office, czy fotografując biurka, na których leżą „niewinne” dokumenty.

Wydaje im się, że jeśli zamażą nazwisko klienta w Paincie, to wszystko jest bezpieczne. Nie jest.

Zanim ktokolwiek w Twojej firmie wrzuci zdjęcie do sieci – bez względu na to, czy to fotka z integracji, czy żart na firmowego Slacka – zadbaj o elementarną świadomość technologiczną zespołu. Bo najczęściej to, czego nie widać na obrazku, mówi o nas znacznie więcej, niż to, co znajduje się w centrum kadru.


Uwaga: Do wszystkich historii pochodzących z forum 4chan należy podchodzić z odpowiednią dozą ostrożności.

Artykuły stanowią "wydłużoną wersję" najpopularniejszych treści tworzonych przeze mnie w innych serwisach social media. Artykuł oraz grafika główna powstały przy wsparciu AI.

Powrót do blogu

Zostaw komentarz

Damian Bielecki

Damian Bielecki "Typ od RODO"

Ekspert ds. ochrony danych osobowycgh. Człowiek który postanowił że prawo o ochronie danych nie musi być nudne. W sieci działa jako Typ od RODO – tłumaczy RODO, CyberSec i AI Act językiem który rozumie biznes a nie tylko prawnicy. Ekspert który uzyskał certyfikaty CIPP/E, CIPM i FIP. Jeśli potrzebujesz pomocy z RODO lub marką osobistą – sprawdź jak pracuję wchodząc w linki.