Хакеры утверждают, что украли 1,2 миллиарда записей пользователей Facebook
Группа хакеров утверждает, что похитила огромную базу данных из 1,2 миллиарда записей пользователей Facebook, воспользовавшись уязвимостью в интерфейсе прикладного программирования (API) платформы социальной сети Meta.
Огромная база данных была опубликована на форуме, посвящённом обмену утекшей информацией, при этом группа утверждает, что это не набор старых записей, а совершенно новый массив данных. Если информация подтвердится, это может стать одним из крупнейших случаев несанкционированного сбора данных пользователей в истории Facebook.
Команда Cybernews проанализировала выборку из 100 000 уникальных записей пользователей Facebook, взятых из первоначальной публикации злоумышленника. Хотя это лишь небольшая часть предполагаемого набора данных из 1,2 миллиарда записей, исследователи утверждают, что информация в выборке, по всей видимости, достоверна.
По данным первоначального анализа, данные содержат поля конфиденциальной информации, такие как: идентификатор пользователя, полное имя, адрес электронной почты, имя пользователя, номер телефона, местоположение, дата рождения и пол, что может создать серьезные риски для конфиденциальности в случае их несанкционированного использования.
Однако эксперты предупреждают, что необходимо проявлять осторожность, прежде чем подтверждать подлинность всего заявления, отчасти потому, что это всего лишь второй пост группы на форуме, а предыдущий пост содержал гораздо меньше данных.
«Возможно, что изначально они протестировали небольшую часть данных, а затем продолжили собирать или агрегировать данные, чтобы увеличить число до 1,2 миллиарда записей», — заявила исследовательская группа.
Если информация подтвердится, это станет одной из крупнейших утечек пользовательских данных, когда-либо зафиксированных на платформе Facebook, что еще больше поставит под сомнение то, как Meta защищает личную информацию пользователей.
«Эти инциденты показывают, что Facebook использует реактивный, а не проактивный подход к безопасности, особенно когда речь идёт о конфиденциальных, но общедоступных данных. Отсутствие надёжных мер защиты и прозрачности не только подрывает доверие, но и подвергает миллионы пользователей риску мошенничества, кражи личных данных и долгосрочных последствий для конфиденциальности», — сообщает Cybernews.
Объем утечки данных достигает 1,2 миллиарда записей, что может стать чрезвычайно опасным инструментом в руках киберпреступных группировок. Наличие большого объема адресов электронной почты, номеров телефонов и подтвержденной личной информации пользователей Facebook позволяет злоумышленникам легко автоматизировать фишинговые кампании и атаковать цели в больших масштабах.
Вместо необходимости ручного вмешательства эти кампании можно развернуть с использованием автоматизированных роботов, которые генерируют миллионы поддельных сообщений, вредоносных сообщений или фальшивых запросов на вход в систему, персонализированных на основе собранных данных.
Тот факт, что адреса электронной почты из списка на самом деле связаны с аккаунтами Facebook, делает мошенничество ещё более убедительным. Хакеры могут атаковать отдельных пользователей с помощью изощрённых фишинговых кампаний, выдавая себя за Facebook или связанные с ним сервисы, чтобы похитить учётные данные, захватить аккаунты или совершить финансовое мошенничество.
По словам экспертов по безопасности, злоупотребление API становится всё более популярной тактикой злоумышленников. В первой половине этого года несколько крупных платформ, включая Shopify, GoDaddy, Wix и OpenAI, подверглись атакам с использованием API-эксплойтов.
Группы мошенников, преследующие финансовые цели, даже используют схожие методы для незаконного доступа к криптовалютным кошелькам или сбора персональных данных из недостаточно защищенных систем.
API являются неотъемлемой частью современной цифровой инфраструктуры, позволяя различным сервисам взаимодействовать и обмениваться данными. Однако эта гибкость может сделать API уязвимыми, если они не находятся под строгим контролем. Злоумышленники могут использовать легитимные API для извлечения данных со скоростью и в масштабах, значительно превышающих первоначальные замыслы разработчика.
Незаконный сбор данных Facebook — не новость. В прошлом году сама Meta признала, что использовала открытые данные Facebook и Instagram для обучения своего ИИ-помощника, что вызвало споры по поводу конфиденциальности.
Ранее в 2021 году еще одна крупная утечка данных более 500 миллионов пользователей Facebook, включая номера телефонов и местоположения, привела к тому, что Ирландская комиссия по защите данных (DPC) оштрафовала компанию на 265 миллионов евро.
«Повторяющиеся инциденты показывают, что Facebook и многие другие платформы по-прежнему придерживаются реактивной, а не проактивной модели безопасности, особенно когда речь идет о контроле публичных, но конфиденциальных данных», — предупредила исследовательская группа.
«Без надежных механизмов защиты и необходимой прозрачности доверие пользователей подрывается, и миллионы людей становятся потенциальными целями для мошенничества, обмана или даже кражи личных данных», — заявила исследовательская группа.