Хакери виставили на загальний огляд" дані 257 тис. користувачів Facebook
У 81 000 акаунтів доступні в тому числі особисті повідомлення, повідомляє "ДС" з посиланням на "Російську службу Бі-бі-сі".
Хакери, які стоять за витоком, стверджують, що все у них є дані 120 млн осіб. Розслідування Facebook показало, що зловмисники використовували шкідливі розширення для браузерів.
На початку вересня на англомовному форумі Blackhatworld, присвяченому пошукової оптимізації, з'явився загадковий пост від нового користувача з ніком FBSaler.
"Ми продаємо персональну інформацію користувачів Facebook. Наша база включає 120 мільйонів акаунтів, з можливістю вибірки по конкретним країнам. Вартість одного профайла становить 10 центів", - написав він.
Користувач доклав посилання на сайт Fbserver, на якому в якості прикладу була викладена частина інформації, проте підтвердження інформації про наявність у хакерів 120 мільйонів акаунтів знайдено не було. При цьому на Fbserver дійсно потрапили персональні дані користувачів соцмережі.
На початку жовтня Fbserver перестав працювати, але двічі перезапускається на новому майданчику. Останнє "дзеркало" порталу носило назву Socialser21 і працювало до 29 жовтня, зараз воно недоступне.
На Socialser21 була опублікована інформація про 257 тисяч профайлів, показав аналіз британської компанії Digital Shadows.
Найактивніше представлена Україна, уточнює голова служби безпеки Digital Shadows Річард Голд: 47 тисяч користувачів. Росію в якості країни проживання вказали 12 тисяч осіб. Всього на сайті майже 200 країнових розділів, у вибірці є акаунти з Великобританії, США, Бразилії та країн СНД.
Приблизно такі ж результати показав аналіз змісту порталу Fbserver, виконаний для Бі-бі-сі російської Social Data Hub.
Біля третини всього масиву даних (81 тисяча профайлів) у відкритому доступі були викладені особисті повідомлення, підрахували в Digital Shadows. П'ять громадян Росії з Москви, Бєлгорода і Пермі, чия особиста переписка була доступна на Socialser21, підтвердили його справжність.
В особистих повідомленнях громадян можна зустріти привітання з святами, обговорення концерту Depeche Mode, скарги тещі на зради зятя, листування з шанувальниками, з'ясування відносин між двома закоханими і скарги на те, що "немає просвіту в життєвій рутині".
Скріншот з сайту Fbserver, що пропонує купити персональні дані користувачів "Фейсбуку" зі всього світу
По решті частини акаунтів в мережу були викладені основні біографічні дані зі списком друзів. Іноді біографія доповнено днем народження і мобільним телефоном. Всі телефони, які перевірила Російська служба Бі-бі-сі, виявилися справжніми і дійсно належать жертвам витоку. При цьому у відкритій частині профайлів цих людей день народження і номер мобільного відсутні.
Першим про Fbserver 6 жовтня написало японське агентство Kyodo. Громадяни Японії, з якими зв'язалося видання, також підтвердили справжність свого листування. Один з авторів нотатки - кореспондент московського бюро агентства Осаму Хирабаяси. Про дивну порталі з особистими даними він, за його словами, дізнався від свого російського джерела".
Як з'ясувала Бі-бі-сі, сукупність ознак показує, що і до запуску порталу, і, можливо, до злому могли мати стосунок люди, пов'язані з Росією. Або ті, хто хотів би, щоб залишився "російський слід".
Сайт Fbserver був створений в кінці серпня 2018 року, випливає з даних сервісу WhoIs. Реєстраційна інформація - дуже суперечлива: власник порталу по імені Namy Mayly нібито живе в Пакистані. При створенні ресурсу була вказана пошта від російського сервісу Mail.ru. Крім того, станом на початок жовтня у порталу був петербурзький IP-адресу.
Російська служба Бі-бі-сі не знайшла зв'язків цієї адреси зі знаменитою "фабрикою тролів", яка базується в Санкт-Петербурзі. Зате цю ж адресу згадується в реєстрі проекту Cybercrime-tracker, який відстежує, через які IP хакери зламують комп'ютери користувачів. За даними реєстру, IP-адресу Fbserver використовувався для розсилки троян-вірусу LokiBot, за допомогою якого зловмисники отримують доступ до паролів користувачів. Автори вірусної розсилки могли стояти і за Fbserver.
З Fbserver пов'язані ще близько 20 ресурсів, підрахували в американської дослідницької компанії ThreatConnect. Частина з них використовують або використовували російські IP-адреси (Москва, Санкт-Петербург або Володимирська область). Спорідненість цих сайтів один з одним видно за загальним DNS-серверів, загальною поштою адміністратора та іншими ознаками. Як правило, сайти мають доменне ім'я в зоні .ug (Уганда) або .hk (Гонгконг), пошту від російських сервісів (наприклад, Mail.ru в якості контакту адміністратора, іноді - російські імена і прізвища у розділі "Ім'я реєстратора" і навіть російські мобільні телефони.
Особиста переписка користувачів "Фейсбуку" з сайту Fbserver
Один з IP-адрес поточного "дзеркала" - Socialser21 - належить російському хостинг-провайдера King Servers. У 2016 році американська дослідницька компанія ThreatConnect виявила, що шість із восьми адрес, через які йшла атака на сервери Демократичної партії США в 2016 році, також були закріплені за King Servers. У компанії тоді говорили, що не мали відношення до хакерам, які лише орендували обладнання.
У ThreatConnect на прохання Бі-бі-сі проаналізували Socialser21. Фахівці компанії вважають, що за проектом можуть стояти кіберзлочинці, що мають відношення до Росії: на пов'язаних з Fbserver сайтах був виявлений "підозрілий вміст. Однак наявної інформації недостатньо для того, щоб визначити конкретну хакерську групу, заключають в ThreatConnect.
Заступник міністра інформаційної політики України Дмитро Золотухін направив запит в офіс компанії Facebook з приводу витоку даних 257 тисяч користувачів, серед яких чимало українських громадян. Про це Золотухін написав на своїй сторінці у . За словами заступника голови МІП, зараз інформація перевіряється.
Нагадаємо, на початку квітня поточного року в Facebook заявили, що, ймовірно, компанія Cambridge Analytica незаконно отримала доступ до даних близько 87 мільйонів користувачів.