В Facebook произошла утечка данных сотен тыс. пользователей

2-11-2018, 15:06 / Автор: Ілько Северин
/
Читати українською
В Facebook произошла утечка данных сотен тыс. пользователей
Злоумышленники использовали вредоносные расширения для браузеров
2.5т

В интернете в свободном доступе выложена информация о 257 тысячах пользователей «Фейсбука», у 81 тысячи аккаунтов доступны даже личные сообщения. Хакеры, стоящие за утечкой, утверждают, что всего у них есть данные 120 млн человек. Расследование Facebook показало, что злоумышленники использовали вредоносные расширения для браузеров.

Об этом сообщает Русская служба ВВС.

В начале сентября на англоязычном форуме Blackhatworld, посвященном поисковой оптимизации, появился загадочный пост от нового пользователя с ником FBSaler. «Мы продаем персональную информацию пользователей «Фейсбука». Наша база включает 120 миллионов аккаунтов, с возможностью выборки по конкретным странам. Стоимость одного профайла составляет 10 центов», — написал он.

Пользователь приложил ссылку на сайт Fbserver, на котором в качестве примера была выложена часть информации. Русская служба Би-би-си не нашла подтверждения информации о наличии у хакеров 120 млн аккаунтов, однако на Fbserver действительно попали персональные данные пользователей соцсети.

В начале октября Fbserver перестал работать, но дважды перезапускался на новой площадке. Последнее «зеркало» портала носило название Socialser21 и работало до 29 октября, сейчас оно также недоступно (Би-би-си знает полный адрес сайта, но не раскрывает его в целях защиты личной информации).

На Socialser21 была опубликована информация о 257 тысячах профайлов, показал анализ британской компании Digital Shadows, проведенный по просьбе Русской службы Би-би-си.

Активнее всего представлена Украина, уточняет глава службы обеспечения безопасности Digital Shadows Ричард Голд: 47 тысяч пользователей. Россию в качестве страны проживания указали 12 тысяч человек. Всего на сайте почти 200 страновых разделов, в выборке есть аккаунты из Великобритании, США, Бразилии и стран СНГ.

Примерно такие же результаты показал анализ содержания портала Fbserver, выполненный для Би-би-си российской Social Data Hub (в середине октября Facebook обвинила компанию в нелегальном сборе данных о пользователях соцсети, аналитика была подготовлена до критики со стороны IT-корпорации).

У трети всего массива данных (81 тысяча профайлов) в открытом доступе были выложены личные сообщения, подсчитали в Digital Shadows. Русская служба Би-би-си связалась с пятью гражданами России из Москвы, Белгорода и Перми, чья личная переписка была доступна на Socialser21, и все они подтвердили ее подлинность.

В личных сообщениях граждан можно встретить поздравления с праздниками, обсуждение концерта Depeche Mode, жалобы тещи на измены зятя, переписку с поклонниками, выяснение отношений между двумя влюбленными и жалобы на то, что «нет просвета в жизненной рутине».

По остальной части аккаунтов в сеть были выложены основные биографические данные со списком друзей. Иногда биография дополнена днем рождения и мобильным телефоном. Все телефоны, которые проверила Русская служба Би-би-си, оказались настоящими и действительно принадлежат жертвам утечки. При этом в открытой части профайлов этих людей день рождения и номер мобильного отсутствуют.

Первым про Fbserver 6 октября написало японское агентство Kyodo. Граждане Японии, с которыми связалось издание, также подтвердили подлинность своей переписки. Один из авторов заметки — корреспондент московского бюро агентства Осаму Хирабаяси. О странном портале с личными данными он, по его словам, узнал от «своего российского источника».

Как выяснила Би-би-си, совокупность признаков показывает, что и к запуску портала, и, возможно, ко взлому могли иметь отношение люди, связанные с Россией. Либо те, кто хотел бы, чтобы остался «русский след».

Сайт Fbserver был создан в конце августа 2018 года, следует из данных сервиса WhoIs. Регистрационная информация — весьма противоречивая: владелец портала по имени Namy Mayly якобы живет в Пакистане. При создании ресурса была указана почта от российского сервиса Mail.ru. Кроме того, по состоянию на начало октября у портала был петербургский IP-адрес.

Русская служба Би-би-си не нашла связей этого адреса со знаменитой «фабрикой троллей», которая базируется в Санкт-Петербурге. Зато этот же адрес упоминается в реестре проекта Cybercrime-tracker, который отслеживает, через какие IP хакеры взламывают компьютеры пользователей. По данным реестра, IP-адрес Fbserver использовался для рассылки троян-вируса LokiBot, с помощью которого злоумышленники получают доступ к паролям пользователей. Авторы вирусной рассылки могли стоять и за Fbserver.

С Fbserver связаны еще около 20 ресурсов, подсчитали в американской исследовательской компании ThreatConnect. Часть из них используют или использовали российские IP-адреса (Москва, Санкт-Петербург или Владимирская область). Родство этих сайтов друг с другом видно по общим DNS-серверам, общей почте администратора и другим признакам. Как правило, сайты имеют доменное имя в зоне .ug (Уганда) или .hk (Гонгконг), почту от российских сервисов (например, Mail.ru) в качестве контакта администратора, иногда — российские имена и фамилии в разделе «Имя регистратора» и даже российские мобильные телефоны.

Один из них оказался рабочим. Трубку сняла девушка, представившаяся Аленой из Москвы, но заверила корреспондента Русской службы Би-би-си, что не имеет отношения к сайту Derevo.ug, при регистрации которого был указан ее номер. При этом создатели этих сайтов достаточно небрежно заполняли графы с регистрационными данными — например, в некоторых случаях в качестве страны проживания администратора указана Уганда, а в качестве города проживания — Москва.

Корреспондент Русской службы Би-би-си отправил письма на электронные адреса от Mail.ru и Yandex.ru, на которые был зарегистрирован Fbserver и его «зеркала». Однако эти сообщения даже не были открыты, следует из сервиса Readnotify.

Один из IP-адресов текущего «зеркала» — Socialser21 — принадлежит российскому хостинг-провайдеру King Servers. В 2016 году американская исследовательская компания ThreatConnect обнаружила, что шесть из восьми адресов, через которые шла атака на сервера Демократической партии США в 2016 году, также были закреплены за King Servers. В компании тогда говорили, что не имели отношения к хакерам, которые лишь арендовали оборудование.

Директор King Servers Владимир Фоменко заявил, что дал указание отключить Socialser21 от сервера сразу после получения вопросов Русской службы Би-би-си. Информацию о тех, кто стоит за порталом, Фоменко готов раскрыть только по запросу правоохранительных органов или суда.

В ThreatConnect по просьбе Би-би-си проанализировали Socialser21. Специалисты компании полагают, что за проектом могут стоять киберпреступники, имеющие отношение к России: на связанных с Fbserver сайтах был обнаружен «подозрительный контент». Однако имеющейся информации недостаточно для того, чтобы определить конкретную хакерскую группу, заключают в ThreatConnect.

В 2018 году произошли два громких скандала, связанных с «утечкой» личных данных пользователей «Фейсбука». В марте стало известно, что британская компания Cambridge Analytica в 2015 году собрала данные о 87 млн аккаунтах через специальный тест: проходя его, пользователи сами давали разрешение на доступ к своим профилям. Больше всего от действий Cambridge Analytica тогда пострадали американские пользователи.

В конце сентября компания Facebook заявила, что обнаружила «утечку» данных о 50 млн аккаунтах (впоследствии IT-гигант скорректировал цифру до 30 млн). В случае с 15 млн пользователей злоумышленники получили доступ к именам и контактным данным. В случае еще 14 млн аккаунтов к этой информации добавились логин, биографические данные (родной город, язык, статус отношений, дата рождения) и типы устройств, с которых пользователь заходил в соцсеть. Наконец, 1 млн пользователей повезло: их личные данные злоумышленникам не достались.

Сентябрьская утечка похожа на настоящую хакерскую атаку: для доступа к аккаунтам загадочные злоумышленники нашли способ получить «токены доступа» — цифровые ключи пользователей, необходимыми для повторного захода на свою страницу в «Фейсбуке». По версии самой IT-корпорации, токены оказались в руках злоумышленников благодаря уязвимости в функции «Посмотреть как» (позволяет узнать, как выглядит личная страница в глазах друзей). Сама атака произошла во второй половине сентября, следует из последнего официального сообщения калифорнийской компании.

Однако Fbserver и его «зеркала», скорее всего, не имеют отношения к этим утечкам, выяснила Русская служба Би-би-си.

Cайты с выставленными на продажу аккаунтами позиционируют себя как «Facebook camanalytica archive» (то есть «архив аккаунтов «Фейсбука», собранный Cambridge Analytica). Однако, во-первых, Cambridge Analytica получила доступ к личной переписке лишь 1500 пользователей, сообщал Business Insider. Во-вторых, компания собрала свои 87 млн аккаунтов в далеком 2015 году, в то время как актуальность данных, выложенных на «зеркале» Fbserver, — середина 2018 года, показал анализ Digital Shadows. Последние по хронологии личные сообщения, обнаруженные Би-би-си в массиве данных, были отправлены пользователями в конце мая.

По этой же, хронологической причине Fbserver и его «зеркала», скорее всего, не имеют отношения к сентябрьской утечке данных из «Фейсбука». Как сообщала сама соцсеть, хакеры воспользовались уязвимостью в функции «Посмотреть как» в период с 14 по 25 сентября — то есть примерно спустя два месяца после того, как данные пользователей оказались в руках создателей Fbserver.

Кроме того, Русская служба Би-би-си также попросила двух россиян, чья информация была опубликована на Socialser21, проверить, не затронула ли их сентябрьская утечка. Это может сделать любой пользователь через специальный сервис, запущенный соцсетью. Однако в обоих случаях ответ был отрицательным.

В итоге, на основании имеющихся данных, сложно проследить, как образом данные пользователей оказались на Fbserver и его «зеркалах», говорит Ричард Голд. В ThreatConnect отмечают: те, кто сумел выкачать информацию о пользователях «Фейсбука», и те, кто в итоге создал эти сайты, могут оказаться разными людьми. Доступ к личным сообщениям мог быть получен либо через подбор пароля, либо его кражу, добавляет Ричард Голд.

Жертвы утечки, с которыми поговорила Русская служба Би-би-си, утверждают, что мало пользуются соцсетью и ни по каким подозрительным ссылкам не переходили. Правда, в сообщениях одного из пользователей от апреля Би-би-си обнаружила извинения перед друзьями за рассылку вирусной ссылки.

Собственное расследование Facebook показало, что злоумышленники, стоящие за Fbserver, могли получить данные пользователей с помощью вредоносных расширений для браузеров. Эти расширения, установленные с согласия пользователей, получали доступ к их персональной информации.

IT-гигант даже связался с разработчиками браузеров, чтобы убедиться, что расширения уже недоступны для скачивания, рассказал Русской службе Би-би-си вице-президент Facebook по управлению продуктами Гай Розен. По его словам, компания обратилась в правоохранительные органы и «местные власти», чтобы отключить сайт с персональными данными, не уточнив, о какой из трех реинкарнаций Fbserver идет речь. Компания также не детализировала, какое количество пользователей могло стать жертвой «утечки».

Корреспондент Русской службы Би-би-си написал на e-mail, указанный в качестве контактного на сайте Fbserver и его «зеркалах» для всех желающих приобрести себе пару миллионов аккаунтов в «Фейсбуке». Ответ пришел по-английски за подписью «Джона Смита». Письмо было открыто с IP-адреса, используемого пользователями браузера Tor, который позволяет скрывать свое настоящее местонахождение (данные сервиса Readnotify).

Информация, выложенная на Fbserver и его «зеркалах», не имеет никакого отношения ни к истории с Cambridge Analytica, ни к последней утечке данных c «Фейсбука», утверждает «Джон Смит».

По его словам, всего у его команды якобы есть данные на 120 млн пользователей, из них 2,7 млн — из России. Весь массив можно приобрести за 12 млн долларов, сообщил он. Впрочем, эксперт призывает относиться к заявленной цифре с большой долей скептицизма. «Утечка 120 миллионов аккаунтов вряд ли осталась бы незамеченной [со стороны Facebook]», — говорит Ричард Голд.

«Джон Смит» не стал раскрывать, почему не ведется рекламная кампания проекта, несмотря на желание заработать на нем. По крайней мере в открытой части интернета первоначальное сообщение на форуме Blackhatworld было единственным.

На вопрос о том, имеют ли хакеры, стоящие за «утечкой», отношение к России или, например, к петербургской «фабрике троллей», он ответил: «Нет».


Почему вы можете доверять vesti-ua.net →

Читайте vesti-ua.net в Google News

Коли, на вашу думку, можливе закінчення війни в Україні?
Последние новости
22:57
"Это может стать небольшой сенсацией", - Трамп заявил, что хочет вернуть войска США в Афганистан
309
22:43
Погода в Украине начнет меняться: прогноз на 19 сентября
225
22:19
Лавров заявил о якобы готовности к компромиссам для мира с Украиной, но есть условие
364
22:02
Контракт 60+ лет: кто может служить по новому закону
496
21:58
В Запорожской области ВСУ устроили диверсию: сгорели 18 офицеров РФ
519
21:33
"Флеш" показал реактивный "Шахед" и объяснил, готова ли РФ к массированным атакам этими дронами
326
21:14
Блэкауты очень вероятны: офицер призвал готовиться к темным временам
348
20:58
Путин подвел меня в урегулировании войны в Украине, - Трамп
290
20:41
Украина проводит контрнаступательную операцию, освобождены 7 сел, - Зеленский
443
20:18
Эксперт по языку тела раскрыл «настоящие чувства» Мелании к Дональду Трампу
1.4т
20:01
В Украину вернули еще 1000 тел погибших
244
19:54
Названы знаки зодиака, которые всегда получают то, о чем мечтают
807
19:35
В Польше подтвердили падение на жилой дом ракеты с истребителя
264
19:16
Ожидается роскошная осенняя погода: прогноз на 19 сентября
310
18:57
Составлен рейтинг самых мстительных знаков зодиака: кто лидирует
1.1т
18:38
Удары украинских беспилотников по нефтяной инфраструктуре обвалили экспорт российской нефти, - Bloomberg
412
18:19
Уже на следующей неделе в Украине может выпасть снег, - синоптик
397
18:00
Этому знаку зодиака почти никогда не везет: кто часто сталкиваются с препятствиями
899
17:41
Украине пока не хватает газа в хранилищах, чтобы пережить зиму, - Reuters
401
17:22
Курс доллара до конца сентября: какие прогнозы дают эксперты
408
17:03
В Раде хотят объединить все электронные реестры и базы данных соцзащиты в Единую систему социальной сферы
380
16:44
Магнитных бурь станет больше, Солнце выходит из периода относительного затишья
504
16:25
Зеленский подписал закон о ратификации столетнего партнерства с Великобританией
358
16:06
Реки становятся всё более непредсказуемыми: ученые предупреждают об опасности
460
15:47
Выезд 18–22 лет за границу: молодые люди начали массово увольняться с работы, - эксперт
662
15:28
День осеннего равноденствия: для кого откроется портал перемен
923
15:09
Когда ЕС может принять 19-й пакет санкций против РФ: версии Politico
332
14:50
В эти даты рождаются личности, которые всегда на шаг впереди конкурентов
1.2т
14:31
Новый закон о помощи украинцам в Польше: что изменится для беженцев
447
14:12
Более 2 миллионов человек в Европе могут погибнуть от экстремальной жары, - прогноз ученых
554
13:53
Цензура на американском ТВ: в США сняли с эфира крупнейшее ток-шоу после комментариев о MAGA
366
13:34
Курс валют в обменных пунктах: доллар дорожает, евро снижается
352
13:15
Гороскоп на 18 сентября по картам таро: кого сегодня ждут приятные эмоции
680
12:56
Социальная помощь: сколько платят лицам с инвалидностью и пенсионерам без стажа
1.4т
12:37
Польша тестирует новую систему проверки граждан на границе с Украиной
403
12:18
В Тернополе пьяный "тцкашник" устроил масштабную аварию и погоню с полицией
389
11:59
Возможен дефицит топлива: эксперт спрогнозировал, что в октябре будет с ценами на АЗС
403
11:40
ЕС готовится к завершению программы временной защиты: как союзники будут возвращать украинцев домой
582
Больше новостей

Продолжая просматривать vesti-ua.net Вы подтверждаете, что ознакомились с Политикой конфиденциальности и согласны с использованием файлов cookie