05.09.2019 04:34
denis-19 14 7100 Источник
Эксперт по безопасности Саньям Джейн обнаружил на незащищенном сервере несколько баз данных, содержащих в общем 419 млн телефонных номеров пользователей Facebook, сообщает издание TechCrunch.

Кроме номеров телефонов в базе оказались и другие данные: ID профилей Facebook, имена, пол, информация о стране проживания. Согласно последней в базы попали данные 133 млн пользователей США, 18 млн британцев и 50 млн жителей Вьетнама.

Найденный в сети сервер не был защищен даже паролем. Любой мог получить доступ к базам данных пользователей соцсети.

Каждая запись в этих базах данных содержит уникальный идентификатор пользователя Facebook и номер телефона, указанный в учетной записи. Идентификатор пользователя соцсети, как правило, представляет собой длинный уникальный и общедоступный номер, связанный с его учетной записью. Используя данные идентификатора пользователя можно также определить его имя.

Время создания баз данных не определено, но судя по тому, что Facebook ограничил доступ к телефонным номерам пользователей более года назад, то, вероятно, что информация в них была собрана до того момента.

Актуальность баз данных подтвердили в TechCrunch. Там проверили несколько записей в базах данных, сопоставив номера телефонов пользователей Facebook с указанными в них идентификаторами соцсети и реальными данными пользователей. Также в издании проверили несколько записей, сопоставив номера телефонов с собственной функцией сброса пароля Facebook, которую можно использовать для частичного раскрытия номера телефона пользователя, связанного с его учетной записью.

По утверждению самого Джейна, в базе данных есть даже профили знаменитостей. Эксперт не пояснил, каких именно.

Пример найденных записей пользователей соцсети, некоторые данные скрыты:



Эта утечка баз данных самая большая в истории Facebook после серии инцидентов и скандала с Cambridge Analytica, в ходе которого были скомпрометированы более 80 млн профилей пользователей, чтобы помочь выявить колеблющихся избирателей на президентских выборах 2016 года в США.

Утечка личных данных опасна для пользователей не только спам-звонками, но и атаками с подменами SIM-карт, когда злоумышленники обманом принуждают операторов связи отдавать номера пользователей.

Владея чужим номером телефона, злоумышленник может принудительно сбросить пароль для любой учетной записи пользователя, связанной с этим номером. Такую атаку недавно использовали для взлома аккаунта Twitter основателя этого сервиса микроблогов Джека Дорси.

Редакторы TechCrunch связались с веб-хостером сервера, а доступ к данным теперь закрыт. Владельца сервера и кто именно собрал данные определить не удалось.

Представитель Facebook Джей Нэнкарроу заверил, что эти данные были собраны кем-то до того, как соцсеть отключила доступ к телефонным номерам пользователей.

«Этот набор данных устарел и, по-видимому, содержит информацию, полученную до того, как в прошлом году мы внесли изменения, чтобы лишить людей возможности находить других по их телефонным номерам», — пояснил Нэнкарроу.

«Сейчас доступ к данным закрыт, и мы не нашли никаких доказательств того, что учетные записи пользователей Facebook были скомпрометированы», — добавил Нэнкарроу.

Непонятно, кто именно собирал эти данные, когда они были выгружены с Facebook и зачем. Данные, по-видимому, были выгружены на сервер в конце прошлого месяца, хотя это не обязательно означает, что сама выборка данных новая.

Комментарии (14)


  1. konchok
    05.09.2019 08:14
    #20588325

    А у меня там нет телефона, выгружайте дальше.


  1. tvr
    05.09.2019 09:53
    #20588637
    +1

    Никогда такого не было и вот опять.
    Но у них есть ещё время сохранить лицо. Потом придётся сохранять другие части тела. © один известный изрекатель афоризмов.


    1. solariserj
      05.09.2019 14:39
      #20590061

      Ну вызовут Цукерберга опять в Белый Дом на ковер, но потом опять быстро забудется. Ведь альтернатива Facebookу нет. Да, есть локальный VK/OK, Weibo, но это мелочи, по сравнению с FB.


      1. Num
        05.09.2019 22:37
        #20591657

        Риторика меняется постепенно. Сейчас сенаторы начинают предлагать тюремные сроки для Марка и Ко.


  1. DrunkBear
    05.09.2019 11:32
    #20589113
    +1

    И снова GDPR тихонько помолчит? Как в случае с инстаграммом?


    1. Kanut
      05.09.2019 11:41
      #20589155

      Согласно последней в базы попали данные 133 млн пользователей США, 18 млн британцев и 50 млн жителей Вьетнама.

      Жители США и Вьетнама GDPR вообще не интересуют. В случае с британцами тему должен поднимать британский регулятор. А учитывая их ситуацию с брекситом и весь тамошний бардак… Может и сделают что-то, а может и нет.


      1. DrunkBear
        05.09.2019 13:39
        #20589761

        М-да. Надеялся, что хоть где-то крупные законы о защите обычных людей стоят дороже бумаги, на которой написаны, а регуляторы занимаются своими прямыми обязанностями, а не осваиванием денег.


        1. Kanut
          05.09.2019 13:42
          #20589783

          В любом случае такое не за день-два решается. Если посмотреть на другие штрафы по GDPR, то там обычно полгода-год проходило прежде чем штрафы назначались. А то и дольше.


  1. samodum
    05.09.2019 12:31
    #20589449
    +2

    Facelook… Нет, Faceleak


  1. armid
    05.09.2019 13:17
    #20589663
    +4

    Этот набор данных устарел

    Интересно за год выходит люди поменяли фамилию, год рождения, пол и т.д. А что касается номера телефона, так моему номеру 6 год пошел. Интересно много людей меняет номер каждый год?

    Врёт этот господин.


  1. Aingis
    05.09.2019 14:55
    #20590133

    Подозреваю, что Фейсбук мог сам отдать данные тем, кто их собирал. Достаточно лишь открыть доступ к телефонной книжке чтобы узнать кто на Фейсбуке. Сделать ряд таких книжек со всеми номерами вподряд — база готова.


  1. member0
    05.09.2019 17:58
    #20590931
    +1

    Это неизбежно, только дело времени. Компания (в данном случае ФБ), собирающая столько данных о пользователях, все равно рано или поздно их потеряет. Из-за кривых субподрядчиков, из-за СИ, человеческого фактора, из-за багов и уязвимостей. Невозможно собирать данные направо и налево о миллиардах людей (обо всем) и при такой сложной инфраструктуре, как у ФБ, их надежно «спрятать» и «хранить».

    Так что, мне кажется, или ФБ пойдет по пути уменьшения количества метрик и сборов перс.данных, или постепенно, потихоньку «сдуется», как десятки гигантов до них.


  1. pyrk2142
    05.09.2019 18:15
    #20590995

    «Сейчас доступ к данным закрыт, и мы не нашли никаких доказательств того, что учетные записи пользователей Facebook были скомпрометированы», — добавил Нэнкарроу.
    Спасибо, мистер Нэнкарроу, теперь я точно уверен, что кто-то собрал данные миллионов пользователей Фейсбука, положил их на какой-то сервер и забыл на год, вообще никак ими не воспользовавшись, ведь это абсолютно очевидное действие, все бы так сделали.


    1. roscomtheend
      06.09.2019 10:38
      #20592675

      Может быть и так — данные собрали, обучили по ним какую-то сетку (для удобства удалённых сотрудников расшарили базу, а что такого? никто же не знает адрес, безопасно), а потом забыли, забили, всехуволили и никто не вспомнил о данных. Видел такое (не торчащее наружу и не взломом собранное), так и лежало без дела, пока место не понадобилось и данные не похоронили под девизом "а что это за фигня тут валяется".