В интернет в свободный доступ выложили информацию о 257 тыс. пользователей социальной сети Facebook. Ещё около двух месяцев назад на форуме Blackhatworld появилась запись от нового пользователя с ником FBSaler:
«Мы продаем персональную информацию пользователей Facebook. Наша база включает 120 млн аккаунтов, с возможностью выборки по конкретным странам. Стоимость одного профайла составляет 10 центов», — написал он.
Пользователь приложил ссылку на сайт Fbserver, на котором в качестве примера была выложена часть информации. На Fbserver действительно попали персональные данные пользователей соцсети. Затем этот сайт несколько раз блокировался, но в последствии в качестве зеркала перезапускался на новых адресах.
На одном из последних зеркал – Socialser21 – была опубликована информация о 257 тыс. учётных записей Facebook. Британская компания Digital Shadows провела анализ опубликованных сведений по просьбе BBC и выяснила некоторые подробности.
Активнее всего в утечке данных представлена Украина – данные о 47 тыс. пользователей из общего количества 257 тыс. Всего на сайте почти 200 разделов по странам, в выборке есть учётные записи из Великобритании, США, Бразилии, Японии и стран СНГ.
У трети всего массива данных (81 тыс. профайлов) в открытом доступе были выложены личные сообщения, подсчитали в Digital Shadows. Русская служба BBC связалась с пятью гражданами России из Москвы, Белгорода и Перми, чья личная переписка была доступна на Socialser21, и все они подтвердили её подлинность. В личных сообщениях пользователей можно встретить поздравления с праздниками, обсуждение концерта Depeche Mode, жалобы тёщи на измены зятя, переписку с поклонниками, выяснение отношений между двумя влюбленными и жалобы на то, что «нет просвета в жизненной рутине».
Как выяснили в BBC, совокупность признаков показывает, что и к запуску портала, и, возможно, ко взлому могли иметь отношение люди, связанные с Россией. В частности, при создании ресурса была указана почта от российского сервиса mail.ru, а по состоянию на начало октября у портала был петербургский IP-адрес. Этот же адрес упоминается в реестре проекта Cybercrime-tracker, который отслеживает, через какие IP хакеры взламывают компьютеры пользователей. По данным реестра, IP-адрес Fbserver использовался для рассылки троян-вируса LokiBot, с помощью которого злоумышленники получают доступ к паролям пользователей. Авторы вирусной рассылки могли стоять и за Fbserver.
С Fbserver связаны еще около 20 ресурсов, подсчитали в американской исследовательской компании ThreatConnect. Часть из них используют или использовали российские IP-адреса (Москва, Санкт-Петербург или Владимирская область). Родство этих сайтов друг с другом видно также по общим DNS-серверам, общей почте администратора и другим признакам. В качестве контакта администратора иногда указываются российские имена и фамилии в разделе «Имя регистратора» и даже российские мобильные телефоны.
Собственное расследование Facebook показало, что злоумышленники, стоящие за Fbserver, могли получить данные пользователей с помощью вредоносных расширений для браузеров. Эти расширения, установленные с согласия пользователей, получали доступ к их персональной информации.
Источник: BBC