Hitech logo

Кейсы

Хакеры выложили в сеть переписку 80 тысяч пользователей Facebook

TODO:
Дарья Бердникова2 ноября 2018 г., 12:52

Злоумышленники утверждают, что у них есть данные 120 млн пользователей соцсети, и готовы продавать досье любого за 10 центов. В базе хакеров оказались люди из разных стран, а пользователи из России и Японии подтвердили подлинность опубликованной информации.

Самые интересные технологические и научные новости выходят в нашем телеграм-канале Хайтек+. Подпишитесь, чтобы быть в курсе.

В начале сентября на англоязычном форуме Blackhatworld появился пост под ником FBSaler. В объявлении утверждалось, что у пользователя есть «120 миллионов аккаунтов, с возможностью выборки по конкретным странам». Для примера пользователь выложил часть информации о пользователях Facebook на сайт Fbserver. Вскоре сайт перестал работать, но затем перезапустился на сервисе Socialser21, сообщает Русская служба BBC.

С помощью экспертов журналисты выяснили, что на Socialser21 была опубликована информация о 257 тысячах профайлов.

Активнее всего представлена Украина, уточняет глава службы обеспечения безопасности Digital Shadows Ричард Голд: 47 тысяч пользователей. Россию в качестве страны проживания указали 12 тысяч человек.

Всего на сайте почти 200 страновых разделов, в выборке есть аккаунты из Великобритании, США, Бразилии, Японии и стран СНГ.

У трети всего массива данных (81 тысяча профайлов) в открытом доступе были выложены личные сообщения — жалобы на измены зятя, обсуждение концерта Depeche Mode и многое другое. Русская служба BBC связалась с пятью гражданами России, чья личная переписка была доступна на Socialser21, и все они подтвердили ее подлинность.

По остальной части аккаунтов в сеть были выложены основные биографические данные со списком друзей. Иногда биография дополнена днем рождения и мобильным телефоном.

Собственное расследование Facebook показало, что злоумышленники, стоящие за Fbserver, могли получить данные пользователей с помощью вредоносных расширений для браузеров. Эти расширения, установленные с согласия пользователей, получали доступ к их персональной информации.

IT-гигант связался с разработчиками браузеров, чтобы убедиться, что расширения уже недоступны для скачивания, рассказал Русской службе BBC вице-президент Facebook по управлению продуктами Гай Розен. По его словам, компания обратилась в правоохранительные органы и «местные власти», чтобы отключить сайт с персональными данными. Компания также не детализировала, какое количество пользователей могло стать жертвой «утечки».

Русский след

BBC пишет о совокупности признаков, которые указывают, что к этой утечке могли иметь отношение либо люди, связанные с Россией, либо те, кто хотел оставить «русский след».

Сайт Fbserver был создан в конце августа 2018 года, следует из данных сервиса WhoIs. Регистрационная информация — весьма противоречивая: владелец портала по прозвишу Namy Mayly якобы живет в Пакистане. При создании ресурса была указана почта от российского сервиса Mail.ru. Кроме того, по состоянию на начало октября у портала был петербургский IP-адрес.

С Fbserver связаны еще около 20 ресурсов, подсчитали в американской исследовательской компании ThreatConnect. Часть из них используют или использовала российские IP-адреса (Москва, Санкт-Петербург или Владимирская область). Родство этих сайтов друг с другом видно по общим DNS-серверам, общей почте администратора и другим признакам.

Как правило, сайты имеют доменное имя в зоне .ug (Уганда) или .hk (Гонгконг), но почту от российских сервисов (например, Mail.ru) в качестве контакта администратора, иногда — российские имена и фамилии в разделе «Имя регистратора» и даже российские мобильные телефоны.

Один из них оказался рабочим. Трубку сняла девушка, представившаяся Аленой из Москвы, но заверила корреспондента Русской службы BBC, что не имеет отношения к сайту Derevo.ug, при регистрации которого был указан ее номер.

Один из IP-адресов текущего «зеркала» — Socialser21 — принадлежит российскому хостинг-провайдеру King Servers. В 2016 году американская исследовательская компания ThreatConnect обнаружила, что шесть из восьми адресов, через которые шла атака на сервера Демократической партии США в 2016 году, также были закреплены за King Servers. В компании тогда говорили, что не имели отношения к хакерам, которые лишь арендовали оборудование.

Директор King Servers Владимир Фоменко заявил, что дал указание отключить Socialser21 от сервера сразу после получения вопросов Русской службы BBC. Информацию о тех, кто стоит за порталом, Фоменко готов раскрыть только по запросу правоохранительных органов или суда.

Facebook и утечки данных

В 2018 году произошли два громких скандала, связанных с «утечкой» личных данных пользователей Facebook. В марте стало известно, что британская компания Cambridge Analytica в 2015 году собрала данные о 87 млн аккаунтах через специальный тест: проходя его, пользователи сами давали разрешение на доступ к своим профилям. Больше всего от действий Cambridge Analytica тогда пострадали американские пользователи. После этого скандала в Facebook устроили зачистку фальшивых аккаунтов.

В конце сентября Facebook заявила, что обнаружила утечку данных о 50 млн аккаунтах (впоследствии IT-гигант скорректировал цифру до 30 млн). В случае с 15 млн пользователей злоумышленники получили доступ к именам и контактным данным. В случае еще 14 млн аккаунтов к этой информации добавились логин, биографические данные (родной город, язык, статус отношений, дата рождения) и типы устройств, с которых пользователь заходил в соцсеть.

Однако Fbserver и его «зеркала», скорее всего, не имеют отношения к этим утечкам, выяснила Русская служба BBC.

Акционеры компании считают, что Марк Цукерберг не справляется с управлением компанией. Они готовы требовать его отставки, но структура корпорации такова, что они не могут принимать решения, которые не поддерживает Цукерберг.