Facebook Pixel
IT
IT

Доступный миллиард: чем грозит публикация данных 500 млн пользователей Facebook и LinkedIn

В течение недели на продажу на хакерских форумах были выставлены данные сначала 500 млн пользователей Facebook, а затем данные более 500 млн людей, зарегистрированных на Linkedin.

Эти две утечки не были результатом взлома соцсетей, однако их появление несет угрозу для тех, чьи данные оказались в этих списках. Появление через несколько дней данных более миллиона пользователей Clubhouse, полученных таким же способом, демонстрирует призрачность защиты данных публичных онлайн-сервисов.

Полмиллиарда от Facebook

3 апреля эксперт по кибербезопасности Алон Гал сообщил о появлении на хакерском форуме для продажи данных 533 млн пользователей соцсети Facebook. Эти данные включали в себя имена профайлов, номера идентификаторов Facebook, адреса электронной почты, даты рождения, данные геолокации и номера телефонов.

Нужно подчеркнуть, что важнейшие авторизационные данные — пароли доступа к Facebook-аккаунтам — опубликованы не были. Всего в списке оказались данные 32 млн американцев, 11 млн британцев и 6 млн жителей Индии. Украинцев в этой базе нет.

Компания Facebook изначально никак не комментировала появление этих баз, потом сказала, что опубликованные данные стали результатом утечки от 2019 года, после которой соцсеть исправила уязвимости. Учитывая то, что в 2019 году компания пострадала от нескольких утечек данных, этот завуалированный ответ не устраивал ни сообщество пользователей, ни тем более экспертов по кибербезопасности.

Эта утечка могла быть связана со скандально известной компанией Cambridge Analytica или с третьими сторонами, о которых сообщила фирма UpGuard, или по крайней мере с тремя другими кейсами, которые затрагивали примерно такое же количество данных пользователей крупнейшей соцсети.

Пояснение в лице директора по управлению продуктами Майка Кларка (Mike Clark) появилось только через три дня. Он объяснил, что данные были получены злоумышленниками в 2019 году через уязвимость инструмента синхронизации и импорта контактов путем использования веб-скрепинга (web scraping) — автоматизированной технологии получения данных с веб-сайтов. Топ-менеджер Facebook сообщил, что функции, использованные злоумышленниками для получения данных пользователей соцсети, были отключены еще в 2019 году.

В компании также заявили, что не планируют сообщать пользователям, чьи данные попали в опубликованные базы, поскольку утечка уже состоялась и сделать с этим уже ничего нельзя. Интересно, что в этой базе были найдены номера телефонов Марка Цукерберга и двух других основателей Facebook — Криса Хьюза и Дастина Московица.

В Facebook подчеркивают, что в утечке нет паролей, финансовой или медицинской информации. Однако большое количество частной информации о пользователе достаточно для организации персонализированных атак.

История с LinkedIn: полмиллиарда и снова веб-скрепинг

Через несколько дней на этом же хакерском форуме начали продавать данные пользователей деловой соцсети LinkedIn. В компании сразу сообщили, что эти данные не были результатом утечки, а были сформированы в результате того же скрепинга данных из соцсети, то есть в автоматическом режиме были собраны с платформы и упорядочены. При этом данные пользователей, которые использовали скрытый профайл, не попали в утечку. Сначала для продажи была выставлена база на 500 млн аккаунтов, затем к ней добавили данные еще 827 млн.

В наборах, выставленных на продажу, представлены полные имена, должности и названия компаний-работодателей, адреса электронной почты, физические адреса, номера телефонов, ссылки и аккаунты в соцсетях и многое другое. В этом случае также не были опубликованы финансовые данные, пароли или иная чувствительная информация.

Угроза для рядового пользователя

Павел Белоусов, эксперт по цифровой безопасности ОО «Интерньюз-Украина» (проект Digital Security School 380), так оценивает угрозы этих утечек для персональной кибербезопасности.

Quote«Хотя в этих двух утечках нет паролей пользователей (правда, в 2012 году Linkedin взламывали, и в сеть утекли именно пароли пользователей), но и этих полученных данных хватит злоумышленникам, чтобы проводить различного рода атаки».

«Например, с использованием данных из утечек можно подготовить «качественное» фишинговое письмо, на которое с большей вероятностью отреагирует жертва, поскольку такое письмо может содержать имя и фамилию, номер телефона, место работы и другие детали. Жертве будет сложнее отличить такие письма от настоящих, поэтому вероятность того, что она перейдет по поддельной ссылке или установит вредоносное программное обеспечение возрастает в несколько раз. Знание номера телефона потенциальной жертвы также увеличивает вероятность дальнейших попыток взлома интернет-банкинга и других значимых сервисов, которые привязаны к этому номеру».

Павел Белоусов

Павел Белоусов

Эксперт по цифровой безопасности ОО «Интерньюз-Украина» (проект Digital Security School 380)

Подобные утечки были и будут, и они не зависят от размеров компании, подчеркнул эксперт.

Поэтому, по словам Белоусова, пользователям всегда нужно стараться оставлять о себе минимум данных, которых хватает для корректной работы того или иного сервиса, соблюдать правила — один отдельный пароль на каждый отдельный аккаунт, всегда использовать двухфакторную аутентификацию с использованием программы-генератора кодов.

«А чтобы оперативно узнавать о том, есть ли ваши данные в сливах (ведь компании, которые стали жертвами атаки, как правило, тянут и долго не признают этот факт), стоит подписаться на уведомления сервиса haveibeenpwned и потренироваться в распознавании фишинговых писем, пройдя этот тест».

Павел Белоусов

Павел Белоусов

Эксперт по цифровой безопасности ОО «Интерньюз-Украина» (проект Digital Security School 380)

Кроме перечисленных экспертом угроз, опубликованных данных достаточно для проведения атак с подменой SIM-карты, также угрозой является использование этих данных для атак на компании через персональные аккаунты их сотрудников, что особенно актуально в условиях пандемии COVID-19 и массовой удаленной работы.

Теоретически эти данные можно использовать для взлома и подбора паролей, особенно если пароль использует privacy-чувствительные данные, например, связанные с местом или датой рождения.

Каковы последствия этих утечек

Комиссия по защите данных Ирландии (IDPC) заявила о начале расследования утечки Facebook, которая могла быть нарушением Общего регламента защиты данных (General Data Protection Regulation — GDPR). Также власти Италии сообщили корпорации Microsoft, которой принадлежит сервис LinkedIn, о начале расследования утечки данных 500 млн пользователей, потому что в опубликованных утечках больше всего данных именно итальянских пользователей. В то же время власти страны призвали пользователей «обращать особое внимание на любые аномалии, связанные с их аккаунтом или номером телефона».

Но сильнее всего обе утечки подняли другую проблему — недобросовестного использования функций веб-скрепинга. Издание Threatpost цитирует эксперта по кибербезопасности Майкла Избицки (Michael Isbitski), технического специалиста Salt Security, который подчеркивает опасность легальной, на первый взгляд, функции скрепинга. По словам эксперта, скрепинг — это «распространенная схема атаки», которая используется злоумышленниками для получения общедоступной в Сети информации, которую потом могут продать уже для получения прибыли или осуществления других опасных действий.

Facebook сообщила, что и в дальнейшем будет бороться с практикой некорректного использования таких легальных функций, как скрепинг, потому что такое использование нарушает условия платформы, поэтому компания будет преследовать злоумышленников, которые злоупотребляют ее инструментами.

Не наши наши данные

10 апреля в Сети опубликовали полученные путем веб-скрепинга данные 1,3 млн пользователей сервиса Clubhouse. Кроме имени пользователя, привязанных аккаунтов в Telegram и Instagram, опубликованные базы содержали дату регистрации на платформе и имя пользователя, который прислал приглашение.

Все эти истории продемонстрировали не только уязвимость нашей информации, но лишний раз доказали, что данные, помещенные в онлайн, де-факто не принадлежат пользователям. Публикацию баз LinkedIn и Facebook даже трудно назвать утечкой, ведь злоумышленники использовали легальные инструменты и просто собрали из открытых источников открытую информацию и представили ее в удобном для просмотра и использования виде.

Одной из самых больших проблем этих утечек является не только невозможность уберечься от таких историй, но и невозможность изменить данные, которые были опубликованы в целом. К примеру, если какой-то сервис «потерял» пароли, то есть они стали доступны злоумышленникам, то достаточно изменить эти пароли и проблему можно считать решенной. Но в этом случае были опубликованы данные, которые не меняются: место работы, город проживания или дата рождения. Именно этот нюанс делает эти, на первый взгляд, несерьезные утечки, на самом деле очень неприятными.

Эта история — обратная сторона онлайн-публичности, даже вынужденной, которая возникает у каждого пользователя социальных сетей, и использования публичных онлайн-сервисов. Такие продукты, как Facebook или LinkedIn, предполагают определенную публичность, ведь нет смысла, к примеру, использовать профессиональную соцсеть, если в ней не указывать профессиональный опыт и место работы.

Возможные реакции вроде «мне нечего скрывать» от отдельных пользователей быстро сводятся на нет, когда они начинают получать письма или звонки от злоумышленников, которые почему-то очень много знают о своих жертвах.

Именно поэтому в ближайшие месяцы нужно быть очень осторожными в отношении писем и сообщений от различных сервисов. Ведь если до сих пор злоумышленники очень ловко умели маскироваться под финансовые учреждения или онлайн-провайдеров, то благодаря этим утечкам их мастерство значительно повысится. И решение «не верь глазам своим» должно стать первой реакцией на любые сообщения, даже если они выглядят как оригинальные.

Это норма

Позже стали известны подробности коммуникационной стратегии Facebook, которые в результате ошибки оказались у журналистов бельгийского издания Data News. Компания планирует представить случаи веб-скрепинга данных пользовательских данных как проблему, традиционную для всех социальных сетей. В сообщении компании говорится, что она ожидает большого и даже регулярного числа случаев веб-скрепинга ближайшее время и называет эти истории нормой для всех социальных сетей.

Если вспомнить, что за неделю в результате применения функций веб-скрепинга были опубликованы данные пользователей сразу трех социальных сетей, то может сложиться впечатление о том, что это действительно новая норма. В то же время, нормализуя такие инциденты, Facebook фактически умывает руки и не скрывает, что проблема такой «легитимной» утечки — это не ее проблема, а проблема рынка. Каким образом эти истории повлияют на рынок соцсетей в целом — пока сказать сложно, но очевидно, что вряд ли они придадут привлекательности этим проектам.

Поблагодарить 🎉