Упродовж тижня на продаж на хакерських форумах було виставлено дані спочатку 500 млн користувачів Facebook, а потім дані понад 500 млн осіб, зареєстрованих на Linkedin.
Ці два витоки не були результатом зламу соцмереж, проте їхня поява несе загрозу для тих, чиї дані опинилися в цих списках. Поява за декілька днів даних більш як мільйона користувачів Clubhouse, отриманих у такий самий спосіб, демонструє примарність захисту даних публічних онлайн-сервісів.
Пів мільярда від Facebook
3 квітня експерт із кібербезпеки Алон Гал повідомив про появу на хакерському форумі для продажу даних 533 млн користувачів соцмережі Facebook. Ці дані містили імена профайлів, номери ідентифікаторів Facebook, адреси електронної пошти, дати народження, дані геолокації та номери телефонів.
Потрібно підкреслити, що найважливіші авторизаційні дані – паролі доступу до Facebook-акаунтів – опубліковані не були. Загалом у списку опинилися дані 32 млн американців, 11 млн британців і 6 млн жителів Індії. Українців у цій базі немає.
Компанія Facebook спочатку ніяк не коментувала появу цих баз, а потім повідомила, що опубліковані дані стали результатом витоку від 2019 року, після якого соцмережа виправила вразливості. За умови, що 2019 року компанія постраждала від декількох витоків даних, ця завуальована відповідь не влаштовувала ані спільноту користувачів, ані тим паче експертів із кібербезпеки.
Цей витік міг бути пов’язаний зі скандально відомою компанією Cambridge Analytica чи з третіми сторонами, про які повідомила фірма UpGuard, чи принаймні з трьома іншими кейсами, що зачіпали приблизно таку саму кількість даних користувачів найбільшої соцмережі.
Пояснення від імені директора з управління продуктами Майка Кларка (Mike Clark) з’явилося аж за три дні. Він пояснив, що дані були отримані зловмисниками у 2019 році через вразливість інструменту синхронізації та імпорту контактів завдяки використанню вебскрепінгу (web scraping) – автоматизованої технології отримання даних із вебсайтів. Топменеджер Facebook повідомив, що функції, які використали зловмисники для отримання даних користувачів соцмережі, було відключено ще 2019 року.
У компанії також заявили, що не планують повідомляти користувачів, чиї дані потрапили до опублікованих баз, адже витік уже стався і зробити із цим уже нічого не можна. Цікаво, що в цій базі було знайдено номери телефонів Марка Цукерберга та двох інших засновників Facebook — Кріса Г’юза та Дастіна Московіца.
У Facebook підкреслюють, що у витоку немає паролів, фінансової чи медичної інформації. Проте велика кількість приватної інформації про користувача є достатньою для організації персоналізованих атак.
Історія з LinkedIn: пів мільярда та знову вебскрепінг
За декілька днів на цьому самому хакерському форумі почали продавати дані користувачів ділової соцмережі LinkedIn. У компанії одразу повідомили, що ці дані не були результатом витоку, а були сформовані внаслідок такого самого скрепінгу даних із соцмережі, тобто були в автоматичному режимі зібрані з платформи та впорядковані. Водночас дані користувачів, які використовували прихований профайл, до витоку не потрапили. Спочатку для продажу було виставлено базу з 500 млн акаунтів, а потім до неї додали дані ще 827 млн.
У наборах, виставлених на продаж, представлені повні імена, посади та назви компаній-роботодавців, адреси електронної пошти, фізичні адреси, номери телефонів, посилання та акаунти в соцмережах та багато іншого. У цьому випадку також не були опубліковані фінансові дані, паролі та інша чутлива інформація.
Загроза для пересічного користувача
Павло Бєлоусов, експерт із цифрової безпеки ГО «Інтерньюз-Україна» (проєкт Digital Security School 380), так оцінює загрози цих витоків для персональної кібербезпеки.
«Хоча в цих двох витоках немає паролів користувачів (щоправда, у 2012 році Linkedin зламували, і в мережу витекли саме паролі користувачів), але й цих здобутих даних вистачить зловмисникам, щоб проводити різного роду атаки».
«Наприклад, з використанням даних із витоків можна підготувати «якісний» фішинговий лист, на який із великою ймовірністю відреагує жертва, оскільки такий лист може містити ім'я та прізвище, номер телефону, місце роботи та інші деталі. Жертві буде складніше відрізнити такі листи від справжніх, тому ймовірність того, що вона перейде за підробленим посиланням або встановить шкідливе програмне забезпечення зростає в кілька разів. Знання номеру телефону потенційної жертви також збільшує ймовірність подальших спроб зламу інтернет-банкінгу та інших важливих сервісів, які прив'язані до цього номера».
Павло Бєлоусов
експерт із цифрової безпеки ГО «Інтерньюз-Україна» (проєкт Digital Security School 380)
Подібні витоки були й будуть, і вони не залежать від розмірів компанії, підкреслює експерт.
Тому, за словами Бєлоусова, користувачам завжди потрібно намагатися залишати про себе щонайменше даних, яких достатньо для коректної роботи того чи іншого сервісу, дотримуватися правила — один окремий пароль на кожний окремий акаунт, завжди використовувати двофакторну аутентифікацію з використанням програми-генератора кодів.
«А щоб оперативно дізнаватися, чи є ваші дані у витоках (адже компанії, які стали жертвами атаки, зазвичай тягнуть і довго не визнають цей факт), варто підписатися на повідомлення сервісу haveibeenpwned і потренуватися в розпізнаванні фішингових листів, пройшовши цей тест».
Павло Бєлоусов
експерт із цифрової безпеки ГО «Інтерньюз-Україна» (проєкт Digital Security School 380)
Окрім перерахованих експертом загроз, опублікованих даних досить для проведення атак із підміною SIM-карти, також загрозою є використання цих даних для атак на компанії через персональні акаунти їхніх співробітників, що є особливо актуальним в умовах пандемії COVID-19 і масової віддаленої роботи.
Теоретично ці дані також можна використати і для зламу та підбору паролів, особливо якщо пароль використовує privacy-чутливі дані, наприклад, пов’язані з місцем чи датою народження.
Якими є наслідки цих витоків
Комісія із захисту даних Ірландії (IDPC) заявила про початок розслідування витоку Facebook, який міг бути порушенням Загального регламенту захисту даних (General Data Protection Regulation — GDPR). Так само влада Італії повідомила корпорацію Microsoft, якій належить сервіс LinkedIn, про початок розслідування витоку даних 500 млн користувачів, адже в опублікованих витоках найбільше даних саме італійських користувачів. Водночас влада країни закликала користувачів «звертати особливу увагу на будь-які аномалії, пов’язані з їхнім акаунтом чи номером телефону».
Але найсильніше обидва витоки підняли іншу проблему – несумлінного використання функцій вебскрепінгу. Видання Threatpost цитує експерта з кібербезпеки Майкла Ізбіцкі (Michael Isbitski), технічного фахівця Salt Security, який наголошує на небезпеці легальної, на перший погляд, функції скрепінгу. За словами експерта, скрепінг – це «поширена схема атаки», яка використовується зловмисниками для отримання загальнодоступної в Мережі інформації, яку потім можуть продати вже для отримання прибутку чи вчинення інших небезпечних дій.
Facebook повідомила, що й надалі боротиметься з практикою некоректного використання таких легальних функцій, як скрепінг, адже таке використання порушує умови платформи, тому компанія переслідуватиме зловмисників, які зловживають її інструментами.
Не наші наші дані
10 квітня в Мережі опублікували отримані завдяки вебскрепінгу дані 1,3 млн користувачів сервісу Clubhouse. Окрім імені користувача, прив’язаних акаунтів у Telegram та Instagram, опубліковані бази містили дату реєстрації на платформі та ім’я користувача, який надіслав запрошення.
Усі ці історії продемонстрували не лише вразливість нашої інформації, але зайвий раз довели, що дані, поміщені в онлайн, де-факто користувачам не належать. Публікацію баз LinkedIn і Facebook навіть витоком назвати важко, адже зловмисники використали легальні інструменти й просто зібрали з відкритих джерел відкриту інформацію та представили її в зручному для перегляду й використання вигляді.
Однією з найбільших проблем цих витоків є не тільки неможливість вберегтися від таких історій, але й неможливість змінити дані, які було опубліковано. До прикладу, якщо якийсь сервіс «загубив» паролі, тобто вони стали доступними для зловмисників, то достатньо змінити ці паролі і проблему можна вважати розв'язаною. У цьому випадку було опубліковано дані, які не змінюються: місце роботи, місто проживання чи дата народження. Саме цей нюанс робить ці, на перший погляд, несерйозні витоки, насправді дуже неприємними.
Ця історія – зворотний бік онлайн-публічності, навіть вимушеної, яка виникає в кожного користувача соціальних мереж, та використання публічних онлайн-сервісів. Такі продукти, як-от Facebook чи LinkedIn, передбачають певну публічність, адже немає сенсу, до прикладу, використовувати професійну соцмережу, якщо в ній не вказувати професійний досвід і місце роботи.
Можливі реакції на кшталт «мені немає чого приховувати» від окремих користувачів швидко зводяться нанівець, коли вони починають отримувати листи чи дзвінки від зловмисників, які чомусь дуже багато знають про свої жертви.
Саме тому найближчими місяцями потрібно бути дуже обережними щодо листів і повідомлень від різних сервісів. Адже якщо й до цього зловмисники дуже вправно вміли маскуватися під фінансові установи чи онлайн-провайдерів, то завдяки цим витокам їхня майстерність значно підвищиться. І рішення «не вір очам своїм» має стати першою реакцією на будь-які повідомлення, навіть якщо вони виглядають як оригінальні.
Це норма
Пізніше стали відомі подробиці комунікаційної стратегії Facebook, які в результаті помилки опинилися у журналістів бельгійського видання Data News. Компанія планує представити випадки веб-скрепінга даних користувача даних як проблему, традиційну для всіх соціальних мереж. У повідомленні компанії сказано, що вона очікує великого і навіть регулярного числа випадків веб-скрепінга найближчим часом і називає ці історії нормою для всіх соціальних мереж.
Якщо згадати, що за тиждень в результаті застосування функцій веб-скрепінга були опубліковані дані користувачів відразу трьох соціальних мереж, то може скластися враження про те, що це дійсно нова норма. Водночас, нормалізуючи такі інциденти, Facebook фактично умиває руки та не приховує, що проблема такого «легітимного» витоку — це не її проблема, а проблема ринку. Яким чином ці історії вплинуть на ринок соцмереж в цілому — поки сказати складно, але очевидно, що навряд чи вони додадуть привабливості цим проєктам.