Хакери зламали сторінки Facebook тисячі українцям, оприлюднені навіть особисті переписки

Stealing personal data through a laptop concept for computer hacker, network security and electronic banking security

В інтернеті у вільному доступі викладено інформацію про 257 тисяч користувачів Facebook, багато з яких – українці. У 81 тисячі акаунтів доступні навіть особисті повідомлення.

Хакери стверджують, що загалом мають дані 120 млн людей. Вони намагаються продати дані, хоча експерти сумніваються, що у них може бути інформація з такої кількості акаунтів.

Facebook стверджує, що такого витоку даних не було.  Дані, ймовірно, було отримано через шкідливі розширення у браузері, пише ВСС.

Дані на продаж

На початку вересня на англомовному форумі Blackhatworld, присвяченому пошуковій оптимізації, з’явився загадковий пост від нового користувача з ніком FBSaler.

“Ми продаємо персональну інформацію користувачів Facebook. Наша база містить 120 мільйонів акаунтів, з можливістю вибірки за конкретними країнами. Вартість одного профайлу коштує 10 центів”, – написав користувач.

Він додав посилання на сайт Fbserver, на якому як приклад було викладено частину інформації.

Російська служба ВВС не знайшла підтвердження інформації про те, що в хакерів були дані 120 млн акаунтів, однак на Fbserver дійсно потрапили персональні дані користувачів соцмережі.

На початку жовтня Fbserver перестав працювати, але двічі перезапускався на новому майданчику. Останнє дзеркало порталу працювало до 29 жовтня, але зараз також недоступне.

Там було опубліковано інформацію про 257 тисяч профайлів, як показав аналіз британської компанії Digital Shadows, проведений на прохання ВВС.

Найактивніше представлено Україну, уточнює голова служби забезпечення безпеки Digital Shadows Річард Голд: 47 тисяч користувачів.

Росію як країну проживання вказали 12 тисяч осіб. Загалом на сайті майже 200 розділів за країнами, у вибірці є акаунти з Великої Британії, США, Бразилії та країн СНД.

Особисте листування

У третини всього масиву даних, тобто 81 тисячі профайлів, у відкритому доступі було викладено особисті повідомлення, порахували в Digital Shadows.

Російська служба ВВС зв’язалася з п’ятьма громадянами Росії, чиї повідомлення були викладені на сервері, і всі вони підтвердили її справжність.

В особистих повідомленнях можна було зустріти привітання зі святами, обговорення концерту Depeche Mode, скарги тещі на зятя та особисте листування між закоханими.

Скріншот з повідомленнями
Image captionBBC зв’язалося з п’ятьма жертвами витоку даних, які підтвердили справжність повідомлень

Для решти акаунтів в мережу виклали основні біографічні дані зі списком друзів, іноді з датою народження та номером мобільного телефону.

Всі телефони, які перевірила ВВС, виявилися справжніми і дійсно належать жертвам витоку даних. При чому, у відкритій частині профайлів цих людей відомості про дату народження та номер мобільного відсутні.

“Російський слід”

Як з’ясувала ВВС, сукупність ознак вказує на те, що до запуску порталу і, можливо, зламу могли мати стосунок люди, пов’язані з Росією – або ж ті, хто хотів би, щоб залишився “російський слід”.

Реєстраційна інформація сайту Fbserver, згідно з даними сервісу WhoIs, – досить суперечлива. Власник нібито мешкає в Пакистані. При створенні було вказано пошту з російського сервісу Mail.ru, а станом на початок жовтня портал мав IP-адресу Санкт-Петербурга.

Зв’язків цієї адреси із сумнозвісною “фабрикою тролів”, що базується в Санкт-Петербурзі, російська служба BBC не знайшла.

Втім, та сама адреса згадується в реєстрі проекту Cybercrime-tracker, що відстежує через які IP хакери проникають в комп’ютери користувачів.

Скріншот із сайту Fbserver
Image captionСкріншот із сайту Fbserver, що пропонує придбати персональні дані користувачів Facebook з усього світу

За даними реєстру, IP-адреса Fbserver використовувалася для розсилки троян-вірусу LokiBot, за допомогою якого зловмисники отримують доступ до паролів користувачів. Автори вірусної розсилки могли стояти і за Fbserver.

З Fbserver пов’язані ще близько 20 ресурсів, частина з яких використовувала російські IP-адреси, як виявили в американській дослідницькій компанії ThreatConnect.

Зазвичай ці сайти мають доменне ім’я в зоні .ug (Уганда) або .hk (Гонконг), пошту на російських сервісах (наприклад, Mail.ru) як контакт адміністратора, іноді – російські імена та прізвища в розділі “Ім’я реєстратора” і навіть російські мобільні телефони.

Фахівці компанії ThreatConnect, як проаналізували Socialiser21, вважають, що за проектом можуть стояти кіберзлочинці, які мають стосунок до Росії: на пов’язаних з Fbserver сайтах виявили “підозрілий контент”. Однак наявної інформації недостатньо для того, щоб визначити конкретне хакерське угруповання, підсумовують у ThreatConnect.

Як хакери отримали доступ?

Жінка фотографується біля логотипу Facebook
Копирайт изображенияJUSTIN SULLIVAN/GETTY I
Image captionУ Facebook вважають, що хакери використовували розширення для браузерів

Власне розслідування Facebook показало, що зловмисники, які стоять за Fbserver, могли отримати дані користувачів за допомогою шкідливих розширень для браузерів.

Такі розширення, встановлені з дозволу користувачів, отримували доступ до їхньої персональної інформації та особистих повідомлень і надсилали їх хакерам.

Facebook не зазначив що саме це був за додаток, але каже, що витік стався не з провини соцмережі.

IT-гігант навіть зв’язався з розробниками браузерів, щоб переконатися, що розширення вже недоступні для завантаження, розповів ВВС віце-президент Facebook з управління продуктами Гай Розен.

За його словами, компанія звернулася до правоохоронних органів та місцевої влади, щоб відключити сайт, на якому виклали персональні дані.

Компанія не уточнила скільки користувачів могли стати жертвами витоку.

Цей витік не пов’язаний з попередніми витоками інформації користувачів, кажуть у Facebook.

Російська служба ВВС написала на e-mail, вказаний як контактна адреса на сайті Fbserver і його “дзеркалах” для тих, хто бажає придбати собі дані кількох мільйонів акаунтів Facebook.

Відповідь надійшла англійською за підписом “Джона Сміта”.

Лист був відкритий з IP-адреси, який використовують користувачі Tor, що дозволяє приховувати своє справжнє місце розташування (дані сервісу Readnotify).

Скріншот оголошення про продаж даних з мільйонів акаунтів
Image captionОголошення про продаж даних з мільйонів акаунтів недовго провисіло на хакерському сайті

“Джон Сміт” відповів, що інформація, викладена на Fbserver і його “дзеркалах”, не має жодного стосунку до історії з Cambridge Analytica та останнього витоку даних з Facebook.

За його словами, загалом його команда має дані про 120 мільйонів користувачів. Весь масив можна придбати за 12 млн доларів, зазначив він.

Експерт закликає ставитися до цієї інформації скептично.

“Витік даних 120 мільйонів акаунтів навряд чи лишився б непоміченим (з боку Facebook. – Ред.)”, – заявили в Digital Shadows.

“Джон Сміт” не пояснив, чому не проводиться ширша рекламна кампанія проекту, попри бажання на ньому заробити.

На питання про те, чи мають хакери, які стоять за “витоком”, стосунок до Росії або, наприклад, до петербурзької “фабрики тролів”, він відповів: “Ні”.