Кроме номеров телефонов в базе оказались и другие данные: ID профилей Facebook, имена, пол, информация о стране проживания. Согласно последней в базы попали данные 133 млн пользователей США, 18 млн британцев и 50 млн жителей Вьетнама.
Найденный в сети сервер не был защищен даже паролем. Любой мог получить доступ к базам данных пользователей соцсети.
Каждая запись в этих базах данных содержит уникальный идентификатор пользователя Facebook и номер телефона, указанный в учетной записи. Идентификатор пользователя соцсети, как правило, представляет собой длинный уникальный и общедоступный номер, связанный с его учетной записью. Используя данные идентификатора пользователя можно также определить его имя.
Время создания баз данных не определено, но судя по тому, что Facebook ограничил доступ к телефонным номерам пользователей более года назад, то, вероятно, что информация в них была собрана до того момента.
Актуальность баз данных подтвердили в TechCrunch. Там проверили несколько записей в базах данных, сопоставив номера телефонов пользователей Facebook с указанными в них идентификаторами соцсети и реальными данными пользователей. Также в издании проверили несколько записей, сопоставив номера телефонов с собственной функцией сброса пароля Facebook, которую можно использовать для частичного раскрытия номера телефона пользователя, связанного с его учетной записью.
По утверждению самого Джейна, в базе данных есть даже профили знаменитостей. Эксперт не пояснил, каких именно.
Пример найденных записей пользователей соцсети, некоторые данные скрыты:
Эта утечка баз данных самая большая в истории Facebook после серии инцидентов и скандала с Cambridge Analytica, в ходе которого были скомпрометированы более 80 млн профилей пользователей, чтобы помочь выявить колеблющихся избирателей на президентских выборах 2016 года в США.
Утечка личных данных опасна для пользователей не только спам-звонками, но и атаками с подменами SIM-карт, когда злоумышленники обманом принуждают операторов связи отдавать номера пользователей.
Владея чужим номером телефона, злоумышленник может принудительно сбросить пароль для любой учетной записи пользователя, связанной с этим номером. Такую атаку недавно использовали для взлома аккаунта Twitter основателя этого сервиса микроблогов Джека Дорси.
Редакторы TechCrunch связались с веб-хостером сервера, а доступ к данным теперь закрыт. Владельца сервера и кто именно собрал данные определить не удалось.
Представитель Facebook Джей Нэнкарроу заверил, что эти данные были собраны кем-то до того, как соцсеть отключила доступ к телефонным номерам пользователей.
«Этот набор данных устарел и, по-видимому, содержит информацию, полученную до того, как в прошлом году мы внесли изменения, чтобы лишить людей возможности находить других по их телефонным номерам», — пояснил Нэнкарроу.
«Сейчас доступ к данным закрыт, и мы не нашли никаких доказательств того, что учетные записи пользователей Facebook были скомпрометированы», — добавил Нэнкарроу.
Непонятно, кто именно собирал эти данные, когда они были выгружены с Facebook и зачем. Данные, по-видимому, были выгружены на сервер в конце прошлого месяца, хотя это не обязательно означает, что сама выборка данных новая.
Комментарии (14)
tvr
05.09.2019 09:53+1Никогда такого не было и вот опять.
Но у них есть ещё время сохранить лицо. Потом придётся сохранять другие части тела. © один известный изрекатель афоризмов.solariserj
05.09.2019 14:39Ну вызовут Цукерберга опять в Белый Дом на ковер, но потом опять быстро забудется. Ведь альтернатива Facebookу нет. Да, есть локальный VK/OK, Weibo, но это мелочи, по сравнению с FB.
Num
05.09.2019 22:37Риторика меняется постепенно. Сейчас сенаторы начинают предлагать тюремные сроки для Марка и Ко.
DrunkBear
05.09.2019 11:32+1И снова GDPR тихонько помолчит? Как в случае с инстаграммом?
Kanut
05.09.2019 11:41Согласно последней в базы попали данные 133 млн пользователей США, 18 млн британцев и 50 млн жителей Вьетнама.
Жители США и Вьетнама GDPR вообще не интересуют. В случае с британцами тему должен поднимать британский регулятор. А учитывая их ситуацию с брекситом и весь тамошний бардак… Может и сделают что-то, а может и нет.DrunkBear
05.09.2019 13:39М-да. Надеялся, что хоть где-то крупные законы о защите обычных людей стоят дороже бумаги, на которой написаны, а регуляторы занимаются своими прямыми обязанностями, а не осваиванием денег.
Kanut
05.09.2019 13:42В любом случае такое не за день-два решается. Если посмотреть на другие штрафы по GDPR, то там обычно полгода-год проходило прежде чем штрафы назначались. А то и дольше.
armid
05.09.2019 13:17+4Этот набор данных устарел
Интересно за год выходит люди поменяли фамилию, год рождения, пол и т.д. А что касается номера телефона, так моему номеру 6 год пошел. Интересно много людей меняет номер каждый год?
Врёт этот господин.
Aingis
05.09.2019 14:55Подозреваю, что Фейсбук мог сам отдать данные тем, кто их собирал. Достаточно лишь открыть доступ к телефонной книжке чтобы узнать кто на Фейсбуке. Сделать ряд таких книжек со всеми номерами вподряд — база готова.
member0
05.09.2019 17:58+1Это неизбежно, только дело времени. Компания (в данном случае ФБ), собирающая столько данных о пользователях, все равно рано или поздно их потеряет. Из-за кривых субподрядчиков, из-за СИ, человеческого фактора, из-за багов и уязвимостей. Невозможно собирать данные направо и налево о миллиардах людей (обо всем) и при такой сложной инфраструктуре, как у ФБ, их надежно «спрятать» и «хранить».
Так что, мне кажется, или ФБ пойдет по пути уменьшения количества метрик и сборов перс.данных, или постепенно, потихоньку «сдуется», как десятки гигантов до них.
pyrk2142
05.09.2019 18:15«Сейчас доступ к данным закрыт, и мы не нашли никаких доказательств того, что учетные записи пользователей Facebook были скомпрометированы», — добавил Нэнкарроу.
Спасибо, мистер Нэнкарроу, теперь я точно уверен, что кто-то собрал данные миллионов пользователей Фейсбука, положил их на какой-то сервер и забыл на год, вообще никак ими не воспользовавшись, ведь это абсолютно очевидное действие, все бы так сделали.roscomtheend
06.09.2019 10:38Может быть и так — данные собрали, обучили по ним какую-то сетку (для удобства удалённых сотрудников расшарили базу, а что такого? никто же не знает адрес, безопасно), а потом забыли, забили, всехуволили и никто не вспомнил о данных. Видел такое (не торчащее наружу и не взломом собранное), так и лежало без дела, пока место не понадобилось и данные не похоронили под девизом "а что это за фигня тут валяется".
konchok
А у меня там нет телефона, выгружайте дальше.