Хакеры завладели информацией о 257 тыс. пользователей Facebook и заявляют, что располагают данными 120 млн аккаунтов, пишет Русская служба BBC.
Кроме того, они утверждают, что располагают личными сообщениями 81 тыс. аккаунтов. Издание добавляет, что согласно расследованию Facebook, злоумышленники использовали вредоносные расширения для браузеров.
О чем речь?
В начале сентября на англоязычном форуме Blackhatworld появился загадочный пост от нового пользователя с ником FBSaler. «Мы продаем персональную информацию пользователей Facebook. Наша база включает 120 миллионов аккаунтов, с возможностью выборки по конкретным странам. Стоимость одного профайла составляет 10 центов», — написал он.
Пользователь приложил ссылку на сайт Fbserver. На нем в качестве примера выложили часть информации. Издание не нашло подтверждения, что хакеры располагают данными 120 млн аккаунтов, однако на Fbserver действительно попали личные данные пользователей соцсети.
Русская служба ВВС отмечает, что в начале октября Fbserver перестал работать, но дважды перезапускался на новой площадке. Последняя носила название Socialser21 и работала до 29 октября, сейчас она тоже недоступна. На Socialser21 опубликовали информацию о 257 тыс. профайлах.
При чем здесь Украина?
Активнее всего представлен украинский сегмент — 47 тыс. пользователей. Россию в качестве страны проживания указали 12 тыс. человек. Всего на сайте размещены данные пользователей из 200 стран, есть аккаунты из Великобритании, США, Бразилии и стран СНГ.
У 81 тыс. профайлов в открытом доступе были выложены личные сообщения. В переписке граждан можно встретить поздравления с праздниками, обсуждение концерта Depeche Mode, жалобы тещи на измены зятя, переписку с поклонниками, выяснение отношений между двумя влюбленными.
Заместитель министра информационной политики Дмитрий Золотухин заявил, что ведомство отправило запрос в Facebook насчет этой информации.
Причастна ли к этому Россия?
Как выяснило издание, совокупность признаков показывает, что к запуску портала и, возможно, ко взлому могли иметь отношение люди, связанные с Россией.
Как следует из данных сервиса WhoIs, сайт Fbserver создали в конце августа 2018 года. Регистрационная информация весьма противоречивая: владелец портала по имени Namy Mayly якобы живет в Пакистане. При создании ресурса он указал почту российского сервиса Mail.ru. Кроме того, по состоянию на начало октября у портала был петербургский IP-адрес.
Этот адрес упоминается в системе Cybercrime-tracker, который отслеживает, через какие IP хакеры взламывают компьютеры пользователей. По данным реестра, IP-адрес Fbserver использовался для рассылки троян-вируса LokiBot, с помощью которого злоумышленники получали доступ к паролям пользователей.
С Fbserver связаны еще около 20 ресурсов. Часть из них используют или использовали российские IP-адреса (Москва, Санкт-Петербург или Владимирская область). Родство этих сайтов друг с другом видно по общим DNS-серверам, общей почте администратора и другим признакам. Как правило, сайты имеют доменное имя в зоне .ug (Уганда) или .hk (Гонгконг), почту от российских сервисов (например, Mail.ru) в качестве контакта администратора, иногда — российские имена и фамилии в разделе «Имя регистратора» и даже российские мобильные телефоны.
Один из IP-адресов нынешнего «зеркала» — Socialser21 — принадлежит российскому хостинг-провайдеру King Servers. В 2016 году американская исследовательская компания ThreatConnect обнаружила, что шесть из восьми адресов, через которые шла атака на сервера Демократической партии США, тоже были закреплены за King Servers.
Директор King Servers Владимир Фоменко заявил, что дал указание отключить Socialser21 от сервера сразу после получения запроса от Русской службы Би-би-си.
Что об этом говорят в Facebook?
Собственное расследование Facebook показало, что злоумышленники, стоящие за Fbserver, могли получить данные пользователей с помощью вредоносных расширений для браузеров. Эти расширения, установленные с согласия пользователей, получали доступ к их персональной информации.
Вице-президент Facebook по управлению продуктами Гай Розен рассказал, что компания связалась с разработчиками браузеров для того, чтобы убедиться, что расширения уже недоступны для скачивания. По его словам, компания обратилась в правоохранительные органы и к «местным властям», чтобы отключить сайт с персональными данными. Компания не уточнила, сколько пользователей могли пострадать от «утечки».