Хакери виклали у вільний доступ інформацію про 257 тис. користувачів Facebook і заявляють, що мають дані 120 млн акаунтів, пише Російська служба BBC.
Крім того, вони стверджують, що володіють особистими повідомленнями 81 тис. акаунтів.
Про що мова?
На початку вересня на англомовному форумі Blackhatworld зʼявився загадковий пост від нового користувача з ніком FBSaler. «Ми продаємо персональну інформацію користувачів Facebook. Наша база включає 120 мільйонів акаунтів, з можливістю вибірки по конкретним країнам. Вартість одного профайла становить 10 центів», — написав він.
Користувач додав посилання на сайт Fbserver. На ньому в якості прикладу виклали частину інформації. Видання не знайшло підтвердження, що хакери мають дані 120 млн акаунтів, проте на Fbserver дійсно потрапили особисті дані користувачів соцмережі.
Російська служба ВВС зазначає, що на початку жовтня Fbserver перестав працювати, але двічі перезапускався на нових сайтах. Останній називався Socialser21 і працював до 29 жовтня, зараз він також недоступний. На Socialser21 опублікували інформацію про 257 тис. профайлів.
До чого тут Україна?
Серед них найактивніше представлений український сегмент — 47 тис. користувачів. Росію в якості країни проживання вказали 12 тис. осіб. Всього на сайті розміщені дані користувачів з 200 країн, є акаунти з Великобританії, США, Бразилії та країн СНД.
У відкритий доступ виклали особисті повідомлення 81 тис. профайлів. У листуванні громадян можна зустріти привітання зі святами, обговорення концерту Depeche Mode, скарги тещі на зради зятя, листування з шанувальниками, зʼясування відносин між двома закоханими.
Заступник міністра з питань інформаційної політики Дмитро Золотухін повідомив, що відомство вже надіслало Facebook запит з приводу цієї інформації.
Чи причетна до цього Росія?
Як зʼясувало видання, сукупність ознак показує, що до запуску порталу і, можливо, до злому могли мати стосунок люди, повʼязані з Росією.
Сайт Fbserver створили наприкінці серпня 2018 року. Реєстраційна інформація досить суперечлива: власник порталу на імʼя Namy Mayly нібито живе в Пакистані. При створенні ресурсу він вказав пошту російського сервісу Mail.ru. Крім того, станом на початок жовтня портал мав петербурзьку IP-адресу.
Ця адреса згадується в системі Cybercrime-tracker, який відстежує, через які IP-адреси хакери зламують компʼютери користувачів. За даними реєстру, адресу Fbserver використовували для розсилки троян-вірусу LokiBot, за допомогою якого зловмисники отримували доступ до паролів користувачів.
З Fbserver повʼязані ще близько 20 ресурсів. Частина з них використовують або використовували російські IP-адреси. Як правило, сайти мають доменне імʼя в зоні .ug (Уганда) або .hk (Гонгконг), пошту від російських сервісів (наприклад, Mail.ru в якості контакту адміністратора, іноді — російські імена та прізвища у розділі «Імʼя реєстратора» і навіть російські мобільні телефони.
Одна з IP-адрес поточного «дзеркала» Fbserver — Socialser21 — належить російському хостинг-провайдеру King Servers. У 2016 році американська дослідницька компанія ThreatConnect виявила, що шість із восьми адрес, через які йшла атака на сервери Демократичної партії США, також були закріплені за King Servers.
Директор King Servers Володимир Фоменко заявив, що дав вказівку відключити Socialser21 від сервера відразу після отримання запиту від Російської служби Бі-бі-сі.
Що про це кажуть у Facebook?
Власне розслідування Facebook показало, що зловмисники, які стоять за Fbserver, могли отримати дані користувачів за допомогою шкідливих розширень для браузерів. Ці розширення, встановлені за згодою користувачів, отримували доступ до їх особистої інформації.
Віце-президент Facebook з управління продуктами Гай Розен розповів, що компанія звʼязалася з розробниками браузерів для того, щоб переконатися, що розширення вже недоступні для скачування. За його словами, компанія звернулася до правоохоронних органів і до «місцевої влади», щоб відключити сайт з персональними даними. Компанія також не уточнила, скільки користувачів могли постраждати через «виток».