В Интернете в свободном доступе оказалась информация о 257 тысячах пользователей Facebook, у 81 тысячи аккаунтов доступны даже личные сообщения. Хакеры, причастные к утечке, утверждают, что у них есть данные 120 млн человек. Расследование Facebook показало, что злоумышленники использовали вредоносные расширения для браузеров.

Об этом сообщает русская служба ВВС.

В начале сентября на англоязычном форуме Blackhatworld, посвященном поисковой оптимизации, появился пост от нового пользователя с ником FBSaler. “Мы продаем персональную информацию пользователей Facebook. Наша база включает 120 миллионов аккаунтов, с возможностью выборки по конкретным странам. Стоимость одного профайла составляет 10 центов”, – говорится в сообщении.

Пользователь также прикрепил ссылку на сайт Fbserver, где была опубликована часть информации.

В начале октября Fbserver перестал работать, но дважды перезапускался на новой площадке. Последнее “зеркало” портала называлось Socialser21 и работало до 29 октября, сейчас оно также недоступно. На Socialser21 была опубликована информация о 257 тысячах пользователей. об этом сообщили в британской компании Digital Shadows.

По словам глава службы обеспечения безопасности Digital Shadows Ричарда Голда, больше всего информации о пользователях из Украины – 47 тысяч аккаутов. Россию в качестве страны проживания указали 12 тысяч человек. Всего на сайте информация почти из 200 стран, там есть и Великобритании, США, Бразилии и страны СНГ.

Примерно такие же результаты показал анализ содержания портала Fbserver, который провела российская компания Social Data Hub. У трети всего массива данных (81 тысяча профайлов) в открытом доступе были опубликованы личные сообщения. Пять граждан России из Москвы, Белгорода и Перми, чья личная переписка была доступна на Socialser21, русской службе ВВС подтвердили ее подлинность.

В личных сообщениях граждан можно встретить поздравления с праздниками, обсуждение концерта Depeche Mode, жалобы тещи на измены зятя, переписку с поклонниками, выяснение отношений между двумя влюбленными и жалобы на то, что “нет просвета в жизненной рутине”.

Что касается остальных аккаутов, что там в основном содержалась биографическая информация и списки друзей. Иногда можно было найти и номер мобильного телефона. Русская служба ВВС утверждает, что проверила несколько номеров – они оказались настоящими.

Сообщается, что вся собранная информация о кибер-злоумышленниках говорит о том, что к запуску портала, и, возможно, ко взлому могли быть причастны люди, связанные с Россией.

 104127507 1 976

“Российский след”

Сайт Fbserver был создан в конце августа 2018 года, согласно данным WhoIs. Владелец портала по имени Namy Mayly якобы живет в Пакистане. При создании ресурса была указана почта сервиса mail.ru. А по состоянию на начало октября у портала был петербургский IP-адрес. Этот же адрес упоминается в реестре проекта Cybercrime-tracker, который отслеживает, через какие IP хакеры взламывают компьютеры пользователей. Так, IP-адрес Fbserver использовался для рассылки троян-вируса LokiBot, с помощью которого злоумышленники получают доступ к паролям пользователей. Авторы вирусной рассылки могли стоять и за Fbserver.

Как сообщает американская исследовательская компания ThreatConnect, с Fbserver связаны еще около 20 ресурсов. Часть из них используют или использовали российские IP-адреса (Москва, Санкт-Петербург или Владимирская область). Стоит отметить, что у сайтов общие DNS-серверы, общая почта администратора. Сайты имеют доменное имя в зоне .ug (Уганда) или .hk (Гонгконг), почту от российских сервисов (например, mail.ru) в качестве контакта администратора, иногда – российские имена и фамилии в разделе “Имя регистратора” и даже российские мобильные телефоны.

 104127509 4 976

В русской службе ВВС отправили письма на электронные адреса от Mail.ru и Yandex.ru, на которые был зарегистрирован Fbserver и его “зеркала”. Однако эти сообщения даже не были открыты.

Один из IP-адресов текущего “зеркала” – Socialser21 – принадлежит российскому хостинг-провайдеру King Servers. В два года назад ThreatConnect обнаружила, что шесть из восьми адресов, через которые шла атака на сервера Демократической партии США в 2016 году, также были закреплены за King Servers. В компании тогда говорили, что не имели отношения к хакерам, которые лишь арендовали оборудование.

Утечка

Как сообщается, в сентябрьской утечке злоумышленники для доступа к аккаунтам нашли способ получить цифровые ключи пользователей, которые необходимы для повторного захода на страницу в Facebook. Токены оказались в руках злоумышленников благодаря уязвимости в функции “Посмотреть как” (позволяет узнать, как выглядит личная страница в глазах друзей). Сама атака произошла во второй половине сентября.

ЧИТАЙТЕ ТАКЖЕ: Yahoo! выплатит $50 млн пострадавшим от утечки данных

Cайты с выставленными на продажу аккаунтами позиционируют себя как “Facebook camanalytica archive” (то есть “архив аккаунтов Facebook, собранный Cambridge Analytica). Стоит отметить, что Cambridge Analytica получила доступ к личной переписке всего лишь 1500 пользователей. Компания собрала свои 87 млн аккаунтов еще в 2015 году, в то время как актуальность данных, опубликованных на “зеркале” Fbserver, – середина 2018 года.

Директор King Servers Владимир Фоменко заявил, что дал указание отключить Socialser21 от сервера сразу после вопросов от ВВС. О том, кто стоит за порталом, Фоменко готов раскрыть только по запросу правоохранительных органов или суда.

По словам Ричарда Голда из Digital Shadows, сложно проследить, как образом данные пользователей оказались на Fbserver и его “зеркалах”. Кроме того, существует вероятность, что доступ к личным сообщениям мог быть получен либо через подбор пароля, либо его кражу.

Собственное расследование Facebook показало, что злоумышленники, стоящие за Fbserver, могли получить данные пользователей с помощью вредоносных расширений для браузеров. Эти расширения, установленные с согласия пользователей, получали доступ к их персональной информации.

IT-гигант даже связался с разработчиками браузеров, чтобы убедиться, что расширения уже недоступны для скачивания.

Вице-президент Facebook по управлению продуктами Гай Розен сообщил, что компания обратилась в правоохранительные органы, чтобы отключить сайт с персональными данными.

Стоит отметить, что замглавы Министерства информационной политики Украины Дмитрий Золотухин заявил, что в связи с информацией об утечке данных из украинских аккаунтов уже написал письмо в Facebook.

zolot

8 октября сообщалось, что Google решила закрыть соцсеть Google+ за то, что персональные данные сотен тысяч пользователей соцсети Google+ могли оказаться в руках злоумышленников.
Ранее сообщалось, что компанию Facebook могут оштрафовать на 1,62 миллиарда долларов из-за хакерской атаки, в результате которой было взломано около 50 млн аккаунтов пользователей.