Хакеры раскрыли данные 257 тысяч пользователей “Фейсбука”. Следы ведут в Россию

В интернете в свободном доступе выложена информация о 257 тысячах пользователей "Фейсбука", у 81 тысячи аккаунтов доступны даже личные сообщения. Хакеры, стоящие за утечкой, утверждают, что всего у них есть данные 120 млн человек. Расследование Facebook показало, что злоумышленники использовали вредоносные расширения для браузеров.

В начале сентября на англоязычном форуме Blackhatworld, посвященном поисковой оптимизации, появился загадочный пост от нового пользователя с ником FBSaler. "Мы продаем персональную информацию пользователей "Фейсбука". Наша база включает 120 миллионов аккаунтов, с возможностью выборки по конкретным странам. Стоимость одного профайла составляет 10 центов", – написал он.

Пользователь приложил ссылку на сайт Fbserver, на котором в качестве примера была выложена часть информации. Русская служба Би-би-си не нашла подтверждения информации о наличии у хакеров 120 млн аккаунтов, однако на Fbserver действительно попали персональные данные пользователей соцсети.

В начале октября Fbserver перестал работать, но дважды перезапускался на новой площадке. Последнее "зеркало" портала носило название Socialser21 и работало до 29 октября, сейчас оно также недоступно (Би-би-си знает полный адрес сайта, но не раскрывает его в целях защиты личной информации).

На Socialser21 была опубликована информация о 257 тысячах профайлов, показал анализ британской компании Digital Shadows, проведенный по просьбе Русской службы Би-би-си.

Активнее всего представлена Украина, уточняет глава службы обеспечения безопасности Digital Shadows Ричард Голд: 47 тысяч пользователей. Россию в качестве страны проживания указали 12 тысяч человек. Всего на сайте почти 200 страновых разделов, в выборке есть аккаунты из Великобритании, США, Бразилии и стран СНГ.

Примерно такие же результаты показал анализ содержания портала Fbserver, выполненный для Би-би-си российской Social Data Hub (в середине октября Facebook обвинила компанию в нелегальном сборе данных о пользователях соцсети, аналитика была подготовлена до критики со стороны IT-корпорации).

У трети всего массива данных (81 тысяча профайлов) в открытом доступе были выложены личные сообщения, подсчитали в Digital Shadows. Русская служба Би-би-си связалась с пятью гражданами России из Москвы, Белгорода и Перми, чья личная переписка была доступна на Socialser21, и все они подтвердили ее подлинность.

В личных сообщениях граждан можно встретить поздравления с праздниками, обсуждение концерта Depeche Mode, жалобы тещи на измены зятя, переписку с поклонниками, выяснение отношений между двумя влюбленными и жалобы на то, что "нет просвета в жизненной рутине".

Скриншот с сайта Fbserver, предлагающего купить персональные данные пользователей "Фейсбука" со всего мира

 

По остальной части аккаунтов в сеть были выложены основные биографические данные со списком друзей. Иногда биография дополнена днем рождения и мобильным телефоном. Все телефоны, которые проверила Русская служба Би-би-си, оказались настоящими и действительно принадлежат жертвам утечки. При этом в открытой части профайлов этих людей день рождения и номер мобильного отсутствуют.

Первым про Fbserver 6 октября написало японское агентство Kyodo. Граждане Японии, с которыми связалось издание, также подтвердили подлинность своей переписки. Один из авторов заметки – корреспондент московского бюро агентства Осаму Хирабаяси. О странном портале с личными данными он, по его словам, узнал от "своего российского источника".

Как выяснила Би-би-си, совокупность признаков показывает, что и к запуску портала, и, возможно, ко взлому могли иметь отношение люди, связанные с Россией. Либо те, кто хотел бы, чтобы остался "русский след".

"Русский след"

Сайт Fbserver был создан в конце августа 2018 года, следует из данных сервиса WhoIs. Регистрационная информация – весьма противоречивая: владелец портала по имени Namy Mayly якобы живет в Пакистане. При создании ресурса была указана почта от российского сервиса Mail.ru. Кроме того, по состоянию на начало октября у портала был петербургский IP-адрес.

Русская служба Би-би-си не нашла связей этого адреса со знаменитой "фабрикой троллей", которая базируется в Санкт-Петербурге. Зато этот же адрес упоминается в реестре проекта Cybercrime-tracker, который отслеживает, через какие IP хакеры взламывают компьютеры пользователей. По данным реестра, IP-адрес Fbserver использовался для рассылки троян-вируса LokiBot, с помощью которого злоумышленники получают доступ к паролям пользователей. Авторы вирусной рассылки могли стоять и за Fbserver.

С Fbserver связаны еще около 20 ресурсов, подсчитали в американской исследовательской компании ThreatConnect. Часть из них используют или использовали российские IP-адреса (Москва, Санкт-Петербург или Владимирская область). Родство этих сайтов друг с другом видно по общим DNS-серверам, общей почте администратора и другим признакам. Как правило, сайты имеют доменное имя в зоне .ug (Уганда) или .hk (Гонгконг), почту от российских сервисов (например, Mail.ru) в качестве контакта администратора, иногда – российские имена и фамилии в разделе "Имя регистратора" и даже российские мобильные телефоны.

Image caption Личная переписка пользователей "Фейсбука" с сайта Fbserver

Один из них оказался рабочим. Трубку сняла девушка, представившаяся Аленой из Москвы, но заверила корреспондента Русской службы Би-би-си, что не имеет отношения к сайту Derevo.ug, при регистрации которого был указан ее номер. При этом создатели этих сайтов достаточно небрежно заполняли графы с регистрационными данными – например, в некоторых случаях в качестве страны проживания администратора указана Уганда, а в качестве города проживания – Москва.

Корреспондент Русской службы Би-би-си отправил письма на электронные адреса от Mail.ru и Yandex.ru, на которые был зарегистрирован Fbserver и его "зеркала". Однако эти сообщения даже не были открыты, следует из сервиса Readnotify.

Один из IP-адресов текущего "зеркала" – Socialser21 – принадлежит российскому хостинг-провайдеру King Servers. В 2016 году американская исследовательская компания ThreatConnect обнаружила, что шесть из восьми адресов, через которые шла атака на сервера Демократической партии США в 2016 году, также были закреплены за King Servers. В компании тогда говорили, что не имели отношения к хакерам, которые лишь арендовали оборудование.

Директор King Servers Владимир Фоменко заявил, что дал указание отключить Socialser21 от сервера сразу после получения вопросов Русской службы Би-би-си. Информацию о тех, кто стоит за порталом, Фоменко готов раскрыть только по запросу правоохранительных органов или суда.

В ThreatConnect по просьбе Би-би-си проанализировали Socialser21. Специалисты компании полагают, что за проектом могут стоять киберпреступники, имеющие отношение к России: на связанных с Fbserver сайтах был обнаружен "подозрительный контент". Однако имеющейся информации недостаточно для того, чтобы определить конкретную хакерскую группу, заключают в ThreatConnect.

Неизвестная утечка

В 2018 году произошли два громких скандала, связанных с "утечкой" личных данных пользователей "Фейсбука". В марте стало известно, что британская компания Cambridge Analytica в 2015 году собрала данные о 87 млн аккаунтах через специальный тест: проходя его, пользователи сами давали разрешение на доступ к своим профилям. Больше всего от действий Cambridge Analytica тогда пострадали американские пользователи.

В конце сентября компания Facebook заявила, что обнаружила "утечку" данных о 50 млн аккаунтах (впоследствии IT-гигант скорректировал цифру до 30 млн). В случае с 15 млн пользователей злоумышленники получили доступ к именам и контактным данным. В случае еще 14 млн аккаунтов к этой информации добавились логин, биографические данные (родной город, язык, статус отношений, дата рождения) и типы устройств, с которых пользователь заходил в соцсеть. Наконец, 1 млн пользователей повезло: их личные данные злоумышленникам не достались.

Правообладатель иллюстрации Justin Sullivan/Getty Images Image caption В Facebook Би-би-си заявили, что учетка связана с вредоносными расширениями для браузеров

 
 

Сентябрьская утечка похожа на настоящую хакерскую атаку: для доступа к аккаунтам загадочные злоумышленники нашли способ получить "токены доступа" – цифровые ключи пользователей, необходимыми для повторного захода на свою страницу в "Фейсбуке". По версии самой IT-корпорации, токены оказались в руках злоумышленников благодаря уязвимости в функции "Посмотреть как" (позволяет узнать, как выглядит личная страница в глазах друзей). Сама атака произошла во второй половине сентября, следует из последнего официального сообщения калифорнийской компании.

Однако Fbserver и его "зеркала", скорее всего, не имеют отношения к этим утечкам, выяснила Русская служба Би-би-си.

Cайты с выставленными на продажу аккаунтами позиционируют себя как "Facebook camanalytica archive" (то есть "архив аккаунтов "Фейсбука", собранный Cambridge Analytica). Однако, во-первых, Cambridge Analytica получила доступ к личной переписке лишь 1500 пользователей, сообщал Business Insider. Во-вторых, компания собрала свои 87 млн аккаунтов в далеком 2015 году, в то время как актуальность данных, выложенных на "зеркале" Fbserver, – середина 2018 года, показал анализ Digital Shadows. Последние по хронологии личные сообщения, обнаруженные Би-би-си в массиве данных, были отправлены пользователями в конце мая.

По этой же, хронологической причине Fbserver и его "зеркала", скорее всего, не имеют отношения к сентябрьской утечке данных из "Фейсбука". Как сообщала сама соцсеть, хакеры воспользовались уязвимостью в функции "Посмотреть как" в период с 14 по 25 сентября – то есть примерно спустя два месяца после того, как данные пользователей оказались в руках создателей Fbserver.

 
Image caption Би-би-си дозвонилась до пяти жертв утечки из "Фейсбука"

Кроме того, Русская служба Би-би-си также попросила двух россиян, чья информация была опубликована на Socialser21, проверить, не затронула ли их сентябрьская утечка. Это может сделать любой пользователь через специальный сервис, запущенный соцсетью. Однако в обоих случаях ответ был отрицательным.

В итоге, на основании имеющихся данных, сложно проследить, как образом данные пользователей оказались на Fbserver и его "зеркалах", говорит Ричард Голд. В ThreatConnect отмечают: те, кто сумел выкачать информацию о пользователях "Фейсбука", и те, кто в итоге создал эти сайты, могут оказаться разными людьми. Доступ к личным сообщениям мог быть получен либо через подбор пароля, либо его кражу, добавляет Ричард Голд.

Жертвы утечки, с которыми поговорила Русская служба Би-би-си, утверждают, что мало пользуются соцсетью и ни по каким подозрительным ссылкам не переходили. Правда, в сообщениях одного из пользователей от апреля Би-би-си обнаружила извинения перед друзьями за рассылку вирусной ссылки.

Собственное расследование Facebook показало, что злоумышленники, стоящие за Fbserver, могли получить данные пользователей с помощью вредоносных расширений для браузеров. Эти расширения, установленные с согласия пользователей, получали доступ к их персональной информации.

IT-гигант даже связался с разработчиками браузеров, чтобы убедиться, что расширения уже недоступны для скачивания, рассказал Русской службе Би-би-си вице-президент Facebook по управлению продуктами Гай Розен. По его словам, компания обратилась в правоохранительные органы и "местные власти", чтобы отключить сайт с персональными данными, не уточнив, о какой из трех реинкарнаций Fbserver идет речь. Компания также не детализировала, какое количество пользователей могло стать жертвой "утечки".

Джон Смит из Tor

Корреспондент Русской службы Би-би-си написал на e-mail, указанный в качестве контактного на сайте Fbserver и его "зеркалах" для всех желающих приобрести себе пару миллионов аккаунтов в "Фейсбуке". Ответ пришел по-английски за подписью "Джона Смита". Письмо было открыто с IP-адреса, используемого пользователями браузера Tor, который позволяет скрывать свое настоящее местонахождение (данные сервиса Readnotify).

 
Image caption Объявление о продаже аккаунтов недолго провисело на хакерском сайте

Информация, выложенная на Fbserver и его "зеркалах", не имеет никакого отношения ни к истории с Cambridge Analytica, ни к последней утечке данных c "Фейсбука", утверждает "Джон Смит".

По его словам, всего у его команды якобы есть данные на 120 млн пользователей, из них 2,7 млн – из России. Весь массив можно приобрести за 12 млн долларов, сообщил он. Впрочем, эксперт призывает относиться к заявленной цифре с большой долей скептицизма. "Утечка 120 миллионов аккаунтов вряд ли осталась бы незамеченной [со стороны Facebook]", – говорит Ричард Голд.

"Джон Смит" не стал раскрывать, почему не ведется рекламная кампания проекта, несмотря на желание заработать на нем. По крайней мере в открытой части интернета первоначальное сообщение на форуме Blackhatworld было единственным.

На вопрос о том, имеют ли хакеры, стоящие за "утечкой", отношение к России или, например, к петербургской "фабрике троллей", он ответил: "Нет".

***

Источник

интернет, Россия, Фейсбук

Увага! Ми увімкнули премодерацію. Коментарі з'являються із затримкою

Добавить комментарий

Ваш адрес email не будет опубликован.

Підпишіться на останні новини

Використання матеріалів сайту дозволено лише за умови посилання (для електронних видань - гіперпосилання) на сайт NIKCENTER.


Copyright © 2012-2024. NIKCENTER