Techniczna analiza Facebook Takeout (Meta) — co ustalić i o co wnioskować do operatorów (PT)

Powrót

Cel dokumentu

Krótki, techniczny przewodnik pokazujący:
  1. jakie informacje zawiera Facebook Takeout i jak je interpretować,
  2. jakie dane techniczne są niezbędne od operatorów telekomunikacyjnych, by jednoznacznie powiązać sesje z konkretnym abonentem/urzadzeniem,
  3. przykładową, zanonimizowaną chronologię zdarzeń oraz praktyczne rekomendacje procesowe.

Opracowanie ma charakter pomocniczy — przygotowany dla funkcjonariuszy jako wzorzec żądań i zakresu analiz. Nie zawiera danych wrażliwych.

Co zawiera Facebook Takeout i dlaczego to ważne

Typowe pliki używane w analizie:
  • account_activity.html — lista zdarzeń (login, session update, password change, name change) z oznaczeniem czasu, IP i user-agent;
  • ip_address_activity.html — aktywność pogrupowana po adresach IP;
  • record_details.html — wpisy administracyjne (zmiany haseł, 2FA, checkpointy) z odniesieniem do IP i device fingerprint;
  • where_you're_logged_in.html / recognized_devices.html — zaufane urządzenia i aktywne sesje;
  • messages (e2ee_cutover) — treści wysłanych wiadomości (ważne do wykazania szkody i mechanizmu phishingu).

Z Facebook Takeout można odtworzyć: sekwencję zdarzeń (timeline), przypisanie zdarzeń do adresów IP i user-agentów, orientacyjną geolokalizację IP i typ użytego klienta (np. Messenger Lite, przeglądarka Chrome, aplikacja mobilna).

Co z Takeout nie ustalisz bez operatora telekomunikacyjnego
  • konkretnej osoby (tożsamości) korzystającej z adresu IP — wymaga to danych operatora;
  • przy CGNAT: bez portów źródłowych nie da się jednoznacznie przypisać sesji do abonenta;
  • bez logów radiowych nie da się powiązać IMSI ↔ IMEI ↔ BTS z zachowaniem precyzji czasowej.

Przykładowa chronologia — ilustracja interpretacji danych z Takeout FB

Tabela nr 1
Zestawienie zdarzeń pokazuje typowy przebieg włamania na konto Facebook. Około 20:50 pojawia się pierwsza aktywność z nowego, wcześniej nie występującego w historii konta urządzenia — telefonu Pixel 6 z Androidem — korzystającego z adresu IPv6 spoza zwyczajowego zakresu logowań właścicielki. W ciągu następnych minut następuje skuteczne logowanie, a potem z innego adresu IPv4 i komputera z przeglądarką Chrome/Windows dochodzi do administracyjnej zmiany hasła i zmiany nazwy profilu — zachowania typowe dla pełnego przejęcia konta.

Przesłanki wskazujące na działanie osoby trzeciej: użycie adresów IP i user-agentów, które nigdy wcześniej nie były przypisane do aktywności tej użytkowniczki w archiwum Takeout; nagła zmiana platformy (z iPhone/Safari → Pixel/Android → Chrome/Windows) w krótkim oknie czasowym; oraz sekwencja zdarzeń: reset hasła → zmiana hasła → zmiana nazwy → masowe wysyłanie wiadomości.

Około 07:13 następnego dnia widoczne są działania naprawcze z urządzenia właścicielki (iPhone), m.in. włączenie 2FA i ponowna zmiana hasła, co potwierdza moment odzyskania kontroli nad kontem. Całość koreluje z atakiem prowadzonym z zewnętrznego urządzenia i różnych punktów sieciowych, a nie z normalnej aktywności właściciela.



Precyzyjne żądanie danych do operatora telekomunikacyjnego— pola niezbędne technicznie
Wniosek do operatora (PT) powinien wymagać (dla wskazanego IP i ścisłego przedziału czasowego — najlepiej z dokładnością do minut):
  1. Dane abonenta / użytkownika końcowego: imię, nazwisko, adres instalacji, ewentualnie PESEL (jeśli dostępny prawnie).
  2. Karty SIM / identyfikatory mobilne: MSISDN, IMSI, ICCID.
  3. Numer(y) IMEI powiązane z sesjami (oraz — jeżeli dostępne — producent i model z bazy IMEI).
  4. Dokładne czasy startu i zakończenia każdej sesji (w UTC oraz lokalnym CEST) i informację, jak czas jest synchronizowany w logach.
  5. Pełne mapowania NAT/CGNAT: zewnętrzny_IP:port_źródłowy ↔ wewnętrzny_IP:port_wewnętrzny ↔ identyfikator sesji (z timestampami).
    • Uwaga praktyczna: jeśli stosowane są translacje CGNAT, operator musi dołączyć numer portu źródłowego — bez niego identyfikacja abonenta jest niemożliwa.
  6. Identyfikatory sieci radiowej (dla ruchu mobilnego): BTS / eNodeB / CellID, eNodeB sector, APN, ewentualnie GTP TEID.
  7. Logi DHCP / PPPoE / CPE MAC (dla połączeń stacjonarnych) — MAC urządzenia CPE, przydzielony wewnętrzny IP.
  8. Metadane i format: pliki w formacie CSV/TSV z opisem kolumn, kopie oryginalnych logów i sumy kontrolne (SHA-256).
  9. Wskazanie wszystkich translacji w ramach żądanego okna — nie tylko jednego rekordu.

Jak formułować zakres czasowy i porty (praktyka)

  • Organa ścigania powinny wskazać bardzo wąski przedział czasowy (np. ±2 minuty wokół zdarzenia z logów Facebooka) — to zmniejsza ilość rekordów i przyspiesza identyfikację.
  • Jeśli log Facebooka pokazuje jedynie przybliżony czas (np. co do sekundy), użyć tego czasu jako punktu odniesienia.
  • Żądać od operatora wszystkich mapowań NAT dla tego zewnętrznego IP w podanym oknie (to operator ma porty w swoich zapisach).

Dodatkowe środki dowodowe do rozważenia
  • Obrazowanie iPhone/iPad/Mac właściciela (jeśli dostępne) — pozwala potwierdzić ustawienia 2FA, zaufane urządzenia, lokalnie zapisane sesje i pliki cookie;
  • Analiza SIM / IMSI / operatora — korelacja IMSI ↔ IMEI ↔ logi sieciowe;
  • Wniosek o logi DNS/Proxy/VPN — jeśli podejrzenie użycia VPN/proxy (adresy niepasujące do geolokalizacji), można żądać informacji od usług VPN (jeśli rozpoznane) lub providerów proxy;
  • Zabezpieczenie treści wiadomości z katalogu messages jako dowód socjotechniki (treść phishingu).

Typowe pułapki i ograniczenia

  • CGNAT i duże zakresy adresów: bez portów lub bez wąskiego przedziału czasowego operator wskaże wielu potencjalnych abonentów;
  • VPN / serwery pośredniczące: geolokalizacja IP może wskazywać miasto serwera, nie rzeczywiste położenie użytkownika;
  • User-Agent to nie dowód — informacja o „Pixel 6” czy „iPhone17,3” pochodzi z UA i może być sfałszowana; prawdziwy dowód to IMEI;
  • Różnice czasowe: serwisy mogą rejestrować zdarzenia w UTC; normalizować wszystkie czasy do CEST w analizie.

Przykładowy fragment żądania do operatora 

Na podstawie art. 180c ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne (Dz.U. z 2023 r. poz. 1636 z późn. zm.) w związku z prowadzonym postępowaniem przygotowawczym sygn. <sygnatura sprawy>, Policja zwraca się z uprzejmą prośbą o udostępnienie danych telekomunikacyjnych oraz danych abonenta lub użytkownika końcowego powiązanych z poniższymi adresami IP w określonych przedziałach czasu:
Zakres żądanych danych:
  1. Dane abonenta lub użytkownika końcowego
    • imię i nazwisko lub nazwa firmy,
    • numer PESEL lub NIP (jeśli dostępny),
    • adres instalacji (adres świadczenia usługi / adres punktu dostępowego),
    • dane kontaktowe (numer telefonu, adres e-mail, jeśli występują w systemie operatora),
    • status umowy (aktywny / rozwiązany, typ umowy: prepaid, postpaid, stacjonarny, mobilny).
  2. Dane techniczne i eksploatacyjne sesji:
    • pełne mapowania translacji NAT / CGNAT (zewnętrzny_IP:port_źródłowy ↔ wewnętrzny_IP:port ↔ identyfikator sesji) wraz z dokładnymi znacznikami czasu (timestamp, w UTC i CEST);
    • przypisane do tych sesji identyfikatory SIM / urządzenia: MSISDN, IMSI, ICCID,
    • numery IMEI urządzeń (z oznaczeniem producenta i modelu, jeśli dostępne w bazie IMEI operatora);
    • dokładny czas rozpoczęcia i zakończenia każdej sesji;
    • identyfikatory sieci mobilnej lub stacjonarnej: BTS / eNodeB / CellID / APN / GTP TEID lub, w przypadku połączeń stacjonarnych, logi DHCP / PPPoE oraz MAC urządzenia końcowego (CPE);
    • lokalizacja przybliżona wynikająca z logów sieciowych (adres punktu dostępowego, stacja bazowa, węzeł dostępu).
  3. Forma przekazania danych:
    • dane należy przekazać w formacie elektronicznym (CSV, TSV lub JSON) wraz z opisem pól i formatów czasowych,
    • pliki powinny być opatrzone sumami kontrolnymi (np. SHA-256) celem zapewnienia integralności,
    • odpowiedź proszę przekazać drogą służbową na wskazany adres Policji lub poprzez bezpieczny kanał SFTP/FTP.


Rekomendacje operacyjne (krok po kroku)

  1. Uzyskać i zabezpieczyć Facebook Takeout od pokrzywdzonego — zapisać sumy kontrolne.
  2. Wstępna analiza i utworzenie timeline (wskazanie zdarzeń kluczowych i IP).
  3. Policja składa wnioski do operatorów z dokładnymi przedziałami czasowymi i żądaniem mapowań NAT oraz IMEI/IMSI/MSISDN.
  4. Po otrzymaniu logów operatora — korelacja IMSI ↔ IMEI ↔ zewnętrzny_IP:port ↔ timestamp.
  5. W razie potrzeby: zabezpieczenie urządzeń (obraz telefonu/komputera) i dalsza ekspertyza.

Zaproszenie do współpracy

Kancelaria biegłego sądowego z zakresu informatyki i teleinformatyki oferuje kompleksowe wsparcie organom ścigania w sprawach dotyczących nieuprawnionego dostępu do kont, wyłudzeń internetowych i ustalania źródeł logowań. Pomagamy w identyfikacji i bezpiecznym pobraniu danych cyfrowych (np. archiwów Facebook Takeout), ich analizie pod kątem adresów IP, urządzeń, zmian haseł i aktywności użytkowników. W oparciu o wyniki analizy opracowujemy projekty formalnych wniosków do operatorów telekomunikacyjnych zgodnych z art. 236 §1 k.p.k. oraz art. 180c–180d Prawa telekomunikacyjnego, wskazując zakres danych, które pozwolą jednoznacznie zidentyfikować sprawcę (abonenta, urządzenie, lokalizację). Po uzyskaniu odpowiedzi od operatorów dokonujemy korelacji ich logów z danymi z serwisów internetowych i przygotowujemy opinię biegłego wraz z załącznikami analitycznymi i wnioskami końcowymi. Zapewniamy również wsparcie merytoryczne przy dalszych czynnościach procesowych i interpretacji danych teleinformatycznych.

autor: mgr inż. Waldemar Chodasiewicz

Listopad 2025