Κατά τη διάρκεια του Σαββατοκύριακου, ερευνητές της εταιρείας πληροφοριών Cyble ανακάλυψαν μια βάση δεδομένων με 267 εκατομμύρια προφίλ χρηστών του Facebook να πωλούνται στο Dark Web.
Προσπαθώντας να επαληθεύσουν τα δεδομένα και να τα προσθέσουν στην υπηρεσία ειδοποίησης παραβιάσεων της εταιρείας, οι ερευνητές αγόρασαν την βάση δεδομένων για 500 λίρες Αγγλίας.
Οι εγγραφές της βάσης δεδομένων περιείχαν τα αναγνωριστικά χρηστών του Facebook, τα οποία είναι μοναδικοί, δημόσιοι αριθμοί που σχετίζονται με συγκεκριμένους λογαριασμούς, πλήρη ονόματα, διευθύνσεις email, τηλεφωνικούς αριθμούς, timestamps που δείχνουν την τελευταία σύνδεση, κατάσταση σχέσης και ηλικία.
Ευτυχώς, δεν υπήρχαν κωδικοί πρόσβασης, αλλά η συγκεκριμένη βάση εξακολουθεί να είναι ένα τέλειο tool kit για μια καμπάνια ηλεκτρονικού ψαρέματος που μοιάζει να προέρχεται από το ίδιο το Facebook.
Πώς διέρρευσαν τα δεδομένα; Σε μια ανάρτηση η Cyble ανέφερε ότι δεν γνωρίζει, αλλά οι ερευνητές της υποψιάζονται ότι τα αρχεία θα μπορούσαν να προέρχονται είτε από κάποια διαρροή στο API προγραμματιστών του Facebook είτε από κάποιο scraping: την αυτόματη συλλογή των διαθέσιμων δεδομένων που δημοσιεύετε οι ίδιοι το Facebook ή σε άλλα κοινωνικά δίκτυα.
Ωστόσο, η ιστορία δεν σταματά εκεί. Στην πραγματικότητα, ούτε ξεκινάει από εκεί. Αποδεικνύεται ότι η ίδια βάση δεδομένων είχε κυκλοφορήσει και στο παρελθόν. Εντοπίστηκε από τον ερευνητή ασφαλείας Bob Diachenko και διαγράφηκε από τον ISP που φιλοξενούσε τη σελίδα. Επανεμφανίστηκε, μεγαλύτερη με άλλες 42 εκατομμύρια εγγραφές σε ένα άλλο διακομιστή.
Στη συνέχεια καταστράφηκε από αγνώστους που αντικατέστησαν τα προσωπικά στοιχεία με εικονικά δεδομένα και άφησαν το μήνυμα: “please_secure_your_servers”.
Ο Diachenko συνεργάστηκε με τον ιστότοπο σύγκρισης και έρευνας Comparitech πάνω σε αυτό το project τον περασμένο μήνα. Η Comparitech ανέφερε ότι η βάση δεδομένων ήταν εκτεθειμένη για σχεδόν δύο εβδομάδες, διαθέσιμη στο διαδίκτυο ελεύθερα χωρίς κάποια προστασία με κωδικό πρόσβασης.
Το χρονοδιάγραμμα που δίνει η Comparitech:
4 Δεκεμβρίου 2019: Η βάση δεδομένων για πρώτη φορά ευρετηριάζεται από μηχανές αναζήτησης.
12 Δεκεμβρίου 2019: Τα δεδομένα δημοσιεύτηκαν για λήψη σε ένα hacking forum.
14 Δεκεμβρίου 2019: Ο Diachenko ανακάλυψε τη βάση δεδομένων και έστειλε αμέσως μια αναφορά στην ISP που διαχειριζόταν την IP του server.
19 Δεκεμβρίου 2019: Σταμάτησε η πρόσβαση στη βάση δεδομένων.
2 Μαρτίου 2020: Ένας δεύτερος server που περιείχε πανομοιότυπα δεδομένα συν άλλα 42 εκατομμύρια, ευρετηριάστηκε από τη μηχανή αναζήτησης BinaryEdge.
4 Μαρτίου 2020: Ο Diachenko ανακάλυψε τον δεύτερο server και ειδοποίησε τον πάροχο φιλοξενίας.
4 Μαρτίου 2020: Ο server δέχθηκε επίθεση και καταστράφηκε από άγνωστους hackers.
Η αρχική βάση δεδομένων περιείχε 267.140.436 εγγραφές κυρίως από χρήστες του Facebook στις ΗΠΑ. Ο Diachenko ανέφερε ότι όλα τα αρχεία φαινόταν να είναι έγκυρα. Οι ίδιες εγγραφές υπήρχαν και στον δεύτερο διακομιστή τον Μάρτιο του 2020, αλλά αυτή τη φορά, η υπήρχαν 42 εκατομμύρια επιπλέον εγγραφές.
Η Comparitech ανέφερε ότι τα 25 εκατομμύρια από τα νέα αρχεία περιείχαν παρόμοιες πληροφορίες: αναγνωριστικά Facebook, αριθμούς τηλεφώνου και ονόματα χρηστών. Ωστόσο, οι 16,8 εκατομμύρια εγγραφές είχαν ακόμη περισσότερα, όπως φύλο, διεύθυνση email, ημερομηνία γέννησης και άλλα προσωπικά δεδομένα.
Τόσο οι ερευνητές της Cyble όσο και ο ίδιος ο Diachenko δεν γνωρίζουν το πώς συνέβη η διαρροή, αλλά και οι δύο συμφωνούν στο ότι θα μπορούσε να ήταν από ένα κενό ασφαλείας στο API τρίτων κατασκευαστών του Facebook που υπήρχε πριν η πλατφόρμα περιορίσει την πρόσβαση στους τηλεφωνικούς αριθμούς, ή που επιτρέπει στους κακόβουλους χρήστες να κλέβουν τα αναγνωριστικά χρήστη και τους τηλεφωνικούς αριθμούς ακόμα και όταν το Facebook περιόρισε την πρόσβαση στο API.
Τόσο η Cyble όσο και η Diachenko υποστηρίζουν ότι εναλλακτικά, η διαρροή μπορεί να προέρχεται από scraping, κάτι που είναι ένας καλός λόγος για να επανεξετάσετε πόσα δεδομένα κοινοποιείτε δημόσια στο Facebook.
Με άλλα λόγια …
Σταματήστε να εκθέτετε τον εαυτό σας!