Доклад: 267 милиона потребителски идентификатори и телефонни номера на Facebook, разкрити онлайн (АКТУАЛИЗАЦИЯ: сега 309 милиона)
База данни, съдържаща повече от 267 милиона потребителски идентификатори, телефонни номера и имена във Facebook, беше оставена открита в мрежата, за да може всеки да има достъп без парола или друго удостоверяване.
Comparitech си партнира с изследователя по сигурността Боб Диаченко, за да разкрие клъстера Elasticsearch. Дяченко вярва, че съкровището от данни най-вероятно е резултат от незаконна операция за изчерпване или злоупотреба с API на Facebook от престъпници във Виетнам, според доказателствата.
Информацията, съдържаща се в базата данни, може да се използва за провеждане на мащабни SMS спам и фишинг кампании, наред с други заплахи за крайните потребители.
Диаченко незабавно уведоми доставчика на интернет услуги, управляващ IP адреса на сървъра, за да може достъпът да бъде премахнат. Дяченко обаче казва, че данните са били публикувани и в хакерски форум като изтеглени.
Актуализация на 6 март 2020 г.:Втори сървър беше разкрит от нещо, което изглежда е същата престъпна група. Данните в този сървър са идентични с първите, плюс допълнителни 42 милиона записа. Актуализирахме тази статия съответно.
Искате ли да направите повече, за да защитите поверителността и сигурността си?Вижте нашия списък с препоръчани инструменти:- Най-добрите VPN мрежи
- Най-добрата антивирусна
- Най-добрите мениджъри на пароли
- Най-добрата защита срещу кражба на самоличност
График на експозицията
Базата данни беше разкрита близо две седмици, преди достъпът да бъде премахнат. Ето какво знаем:
- 4 декември 2019 г. – Базата данни беше индексирана за първи път от търсачките.
- 12 декември 2019 г. – Данните бяха публикувани като изтеглени на хакерски форум.
- 14 декември 2019 г. – Диаченко откри базата данни и незабавно изпрати доклад за злоупотреба до интернет доставчика, управляващ IP адреса на сървъра.
- 19 декември 2019 г. – Достъпът до базата данни беше премахнат.
- 2 март 2020 г. – Втори сървър, съдържащ идентични записи плюс допълнителни 42 милиона, беше индексиран от търсачката BinaryEdge.
- 4 март 2020 г. – Диаченко откри втория сървър и предупреди хостинг доставчика.
- 4 март 2020 г. – Сървърът беше атакуван и унищожен от неизвестни участници.
Обикновено, когато открием разкрити лични данни като тези, предприемаме стъпки, за да уведомим собственика на базата данни. Но тъй като вярваме, че тези данни принадлежат на престъпна организация, Диаченко отиде направо при страните, хостващи сървърите и съответните IP адреси.
Малко след като Диаченко откри втория сървър, той беше атакуван от неизвестна страна. Базите данни с лична информация бяха заменени с фиктивни данни и имена на бази данни, които гласят „please_secure_вашите_сървъри”.
Разкрита база данни след неизвестна атака.
Какви данни бяха разкрити
Първоначално бяха изложени 267 140 436 записа. Повечето от засегнатите потребители са от Съединените щати. Диаченко казва, че всички те изглеждат валидни. Всяка съдържаше:
- Уникален Facebook ID
- Телефонен номер
- Пълно име
- Времево клеймо
Сървърът включваше целева страница с табло за вход и добре дошли.
Идентификаторите във Facebook са уникални, публични номера, свързани с конкретни акаунти, които могат да се използват за разпознаване на потребителското име на акаунта и друга информация за профила.
Вторият сървър, разкрит през март 2020 г., съдържаше същите 267 милиона записа като предишния, плюс допълнителни 42 милиона записа. Беше хостван на сървър на Elasticsearch в САЩ. 25 милиона от тези записи съдържат подобна информация: Facebook ID, телефонни номера и потребителски имена.
16,8 милиона от новите записи съдържаха още повече информация, включително:
- Facebook ID
- Телефонен номер
- Подробности за профила
- Имейл адреси
- Някои други лични данни
Как престъпниците са получили данни от Facebook?
Как престъпниците са се сдобили с потребителските идентификатори и телефонните номера не е напълно ясно. Една от възможностите е данните да са били откраднати от API за разработчици на Facebook преди компанията ограничен достъп до телефонни номера през 2018 г. API на Facebook се използва от разработчиците на приложения за добавяне на социален контекст към техните приложения чрез достъп до потребителски профили, списък с приятели, групи, снимки и данни за събития. Телефонните номера бяха достъпни за разработчици на трети страни преди 2018 г.
Дяченко казва, че API на Facebook също може да има дупка в сигурността, която ще позволи на престъпниците да получат достъп до потребителски идентификатори и телефонни номера дори след като достъпът е ограничен.
Друга възможност е данните да са били откраднати, без изобщо да се използва API на Facebook, а вместо това да са изтрити от публично видими профилни страници.
„Изчерпване“ е термин, използван за описване на процес, при който автоматизирани ботове бързо пресяват голям брой уеб страници, копирайки данни от всяка една в база данни. За Facebook и други социални медийни сайтове е трудно да предотвратят изтриването, защото често не могат да направят разликата между законен потребител и бот. Изтриването е против условията на услугата на Facebook и повечето други социални мрежи.
Много хора имат настройките за видимост на Facebook профила си като публични, което прави изтриването им тривиално.
Това не е първият път, когато подобна база данни е разкрита. През септември 2019 г. Бяха разкрити 419 милиона записа в няколко бази данни . Те също така включват телефонни номера и идентификатори във Facebook.
Опасности от разкрити данни
Толкова голяма база данни вероятно ще бъде използвана за фишинг и спам, особено чрез SMS. Потребителите на Facebook трябва да внимават за подозрителни текстови съобщения. Дори подателят да знае вашето име или някаква основна информация за вас, бъдете скептични към всякакви непоискани съобщения.
Потребителите на Facebook могат да сведат до минимум шансовете профилите им да бъдат ограбени от непознати, като коригират настройките за поверителност на акаунта си:
- Отворете Facebook и отидете на **Настройки**
- Кликнете **Поверителност**
- Задайте всички съответни полета на **Приятели** или **Само аз**
- Комплект **”Искате ли търсачките извън Facebook да се свързват с вашия профил** да се **Не**
Това ще намали шансовете вашият профил да бъде изтрит от трети страни, но единственият начин да се уверите, че това никога повече няма да се случи, е напълно да деактивирате или изтриете своя Facebook акаунт.
Как и защо открихме тези данни
Comparitech работи с Bob Diachenko, за да разкрие незащитени бази данни и да ги докладва на обществеността. Нашата цел е да ограничим достъпа и злоупотребата с лични данни от злонамерени страни и да повишим осведомеността на засегнатите за потенциалните рискове.
При откриване на разкрити данни Диаченко незабавно уведомява отговорните, така че базата данни да може да бъде затворена или защитена. След това анализираме изтичането, за да идентифицираме жертвите, продължителността на експозицията и всички потенциални заплахи, с които жертвите могат да се сблъскат.
Предишни доклади
Comparitech и Diachenko редовно се обединяват, за да разкрият разкрити данни. Някои от другите ни доклади включват:
- 2,7 милиарда разкрити имейл адреса от предимно китайски домейни, 1 милион от които включват пароли
- Подробни лични досиета на 188 милиона души бяха открити в мрежата
- 7 милиона студентски записи, изложени от K12.com
- 5 милиона лични досиета, принадлежащи на MedicareSupplement.com, изложени на обществеността
- Разкрити са 2,8 милиона клиентски записи на CenturyLink
- Изтекоха записи на клиенти на 700k Choice Hotels
DeHashed.com , услуга за известяване, предотвратяване и консултиране на нарушения, също откри второто излагане на данни и се свърза с нас, за да потвърди доказателства, сочещи, че същата престъпна група е отговорна.