Хакеры выложили в сеть данные 275 тысяч пользователей социальной сети Facebook, у 81 тысяч пользователей доступны даже личные сообщения. Как сообщает "Русская служба Би-би-си", злоумышленники заявляют, что у них есть доступ к данным 120 миллионов пользователей социальной сети. Расследование показало, что хакеры использовали вредоносные расширения для браузеров.
Отмечается, что в начале октября на англоязычном форуме Blackhatworld появилось сообщение от нового пользователя с ником FBSaler, в котором тот предлагал купить персональную информацию пользователей Facebook, стоимость одного аккаунта оценивалась в 10 центов. Он также утверждал, что в его распоряжении находятся 120 миллионов аккаунтов с возможностью выбора по конкретной стране.
Пользователь также выложил ссылку на сайт Fbserver, перейдя по которой можно было проверить опубликованную им информацию. Отмечается, что журналисты "Би-би-си" не нашли подтверждения того, что хакеры получили доступ к 120 миллионам аккаунтов, но опубликованные данные действительно касались пользователей Facebook. Сайт Fbserver перестал работать в начале октября, но перезапускался несколько раз на новых платформах. Последнее его "зеркало" носило название Socialser21, оно перестало работать 29 октября.
Проверка компании Digital Shadows показала, что на сайте была опубликована информация о 257 тысячах аккаунтов. По словам главы службы безопасности компании Ричарда Голда, активнее всего была представлена Украина: 47 тысяч пользователей. Всего на сайте было более 200 разделов по странам. Для 81 тысяч аккаунтов была опубликована личная переписка. Журналисты связались пятью гражданами России из Москвы, Белгорода и Перми, чья личная переписка была доступна на Socialser21, и все они подтвердили ее подлинность.
Отмечается также, что с созданием сайта связаны российские хакеры либо те, кто хотел, чтобы в остался "русский след". По данным сервиса WhoIs, сайт Fbserver был создан в конце августа 2018 года. Владелец портала по имени Namy Mayly якобы живет в Пакистане. При создании ресурса была указана почта от российского сервиса Mail.ru. Кроме того, по состоянию на начало октября у портала был петербургский IP-адрес.
Связей с "фабрикой троллей" обнаружено не было, но этот же адрес упоминается в реестре проекта Cybercrime-tracker, который отслеживает, через какие IP хакеры взламывают компьютеры пользователей. По данным реестра, IP-адрес Fbserver использовался для рассылки троян-вируса LokiBot, с помощью которого злоумышленники получают доступ к паролям пользователей. Авторы вирусной рассылки могли стоять и за Fbserver.
С сайтом связано еще 20 ресурсов. Часть из них используют или использовали российские IP-адреса (Москва, Санкт-Петербург или Владимирская область). Родство этих сайтов друг с другом видно по общим DNS-серверам, общей почте администратора и другим признакам. Как правило, сайты имеют доменное имя в зоне .ug (Уганда) или .hk (Гонгконг), почту от российских сервисов (например, Mail.ru) в качестве контакта администратора, иногда - российские имена и фамилии в разделе "Имя регистратора" и даже российские мобильные телефоны.
По утверждениям "Русской службы Би-би-си", оказавшиеся в сети данные не связаны со скандалом вокруг Cambridge Analytica. Этой компании удалось получить доступ к личным сообщениям 1500 пользователей и основные данные были собраны в 2015 году, тогда как новейшие данные, которые хранятся в архиве, датируются маем 2018 года.
Ранее представители Facebook заявили о том, что хакеры, которые ранее взломали 50 миллионов аккаунтов пользователей, не получили доступ к учетным записям в сторонних приложениях.
50 миллионов пользователей пострадали или могли пострадать из-за уязвимости в системе безопасности. Злоумышленники воспользовались уязвимостью в функции "Посмотреть как", которая позволяет пользователям посмотреть, как видят их страницу другие.