По данным ВВС, в свободном доступе сейчас выложена информация о 257 тысячах пользователей соцсети, из них у 81 тысячи аккаунтов доступны личные сообщения.
Хакеры, которые стоят за утечкой, утверждают, что всего у них есть данные 120 млн человек. Для их получения были использованы вредоносные расширения для браузеров и внутренние уязвимости соцсети
Первое сообщение от хакеров появилось в начале сентября на англоязычном форуме Blackhatworld, посвященном поисковой оптимизации. Пользователь под ником FBSaler заявил, что может продать аккаунты Фейсбука с базы в 120 миллионов пользователей на сайте Fbserver.
Объявления о продаже аккаунтов
"Мы продаем персональную информацию пользователей "Фейсбук". Наша база включает 120 миллионов аккаунтов, с возможностью выборки по конкретным странам. Стоимость одного профайла составляет 10 центов", - написал он.
В начале октября Fbserver перестал работать, но дважды перезапускался на новой площадке. Одно из “зеркал” сайта - Socialser21 - работало до 29 октября. Компания Digital Shadows по просьбе редакции ВВС выяснила, что на них хранилась информация 257 тысяч пользователей;
Читайте также: Если устали от Facebook: ТОП-7 странных соцсетей, которые потерялись в интернете
Злоумышленники получали доступ к паролям и частной информации, рассылая троян-вирус LokiBot. Также они взламывали аккаунты через вредоносные расширения для браузеров. В Facebook подтвердили, что связывались с разработчиками браузеров для удаления этих программ.
Скриншот с сайта Fbserver, который предлагает купить персональные данные
На Socialser21 несколько разделов по странам: наибольшее количество профилей (47 тысяч) с Украины, из России оказалось только 12 тысяч человек, остальные из СНГ, Великобритании или США. Данные из тех же стран были опубликованы на Fbserver;
Российский след
По данным ВВС, хакеры либо связаны с Россией, либо хотели оставить “русский след”. Сайт Fbserver был создан в конце августа 2018 года. Регистрационная информация весьма противоречива: владелец портала на имя Namy Mayly якобы живет в Пакистане. При создании ресурса была указана почта от российского сервиса Mail.ru.
Читайте также: Со всеми ссорится Цукерберг: как Facebook пожирает глав компаний
Кроме того, по состоянию на начало октября у портала был петербургский IP-адрес, который, к тому же, упоминается в реестре проекта Cybercrime-tracker, который отслеживает, через какие IP хакеры взламывают компьютеры пользователей.
Личная переписка пользователей Facebook с сайта Fbserver
По данным реестра, IP-адрес Fbserver использовался для рассылки троян-вируса LokiBot, с помощью которого злоумышленники получают доступ к паролям пользователей. Авторы вирусной рассылки могли стоять и за Fbserver.
С Fbserver связаны еще около 20 сайтов, которые использовали российские IP-адреса, общие DNS-сервера и почту администратора. В регистрационных данных указаны почты с российских серверов, номеров телефонов и ФИО в разделе о владельце. Но доменные имена зарегистрированы в зонах .ug (Уганда) или .hk (Гонгконг);
Портал Socialser21 принадлежит хостинг-провайдеру King Servers из России, которого связывали с атакой на сервера Демократической партии США в 2016 году. После обращения журналистов, там пообещали отключить поддержку Socialser21, но отказались раскрывать информацию о ресурсе без требования суда.
Пока подтверждений того, что утечка 257 тысяч аккаунтов связана со скандалами вокруг Фейсбука в 2018 году, нет. Сначала британская компания Cambridge Analytica получила доступ к данным 50 миллионов пользователей, потом Фейсбук сам рассказал о попадании в открытый доступ данных более 30 миллионов человек;
В аналитической компании ThreatConnect заявили, что хакеры могли получить информацию либо через перебор пароля, либо украв через вредоносные программы. Один из контактов Fbserver рассказал Би-би-си, что утечка не связана с недавними скандалами, и предложил купить массив из 120 миллионов аккаунтов в Фейсбуке за 12 миллионов долларов. Он также сказал "Нет" на вопросы, связаны ли злоумышленники с Россией.