Хакеры утверждают, что украли 1,2 миллиарда записей пользователей Facebook
Группа хакеров утверждает, что похитила огромную базу данных из 1,2 миллиарда записей пользователей Facebook, воспользовавшись уязвимостью в интерфейсе прикладного программирования (API) платформы социальной сети Meta.
Огромная база данных была опубликована на форуме, посвящённом обмену утекшей информацией, при этом группа утверждала, что это не набор старых записей, а совершенно новый массив данных. Если информация подтвердится, это может стать одним из крупнейших случаев несанкционированного сбора данных пользователей в истории Facebook.
Команда Cybernews проанализировала выборку из 100 000 уникальных записей пользователей Facebook, взятую из первоначального поста злоумышленника. Хотя это лишь небольшая часть предполагаемого набора данных в 1,2 миллиарда записей, исследователи заявили, что информация в выборке, по всей видимости, достоверна.
Согласно первоначальному анализу, данные содержат поля конфиденциальной информации, такие как: идентификатор пользователя, полное имя, адрес электронной почты, имя пользователя, номер телефона, местоположение, дата рождения и пол, что может создать серьезные риски для конфиденциальности в случае их несанкционированного использования.
Однако эксперты предупреждают, что необходимо проявлять осторожность, прежде чем подтверждать подлинность всего заявления, отчасти потому, что это всего лишь второй пост группы на форуме, а предыдущий пост содержал гораздо меньше данных.
«Возможно, что изначально они протестировали небольшую часть данных, а затем продолжили собирать или агрегировать данные, чтобы увеличить число до 1,2 миллиарда записей», — заявила исследовательская группа.
Если информация подтвердится, это станет одной из крупнейших утечек пользовательских данных, когда-либо зафиксированных на платформе Facebook, что еще больше поставит под сомнение то, как Meta защищает личную информацию пользователей.
«Эти инциденты показывают, что Facebook использует реактивный, а не проактивный подход к безопасности, особенно когда речь идёт о конфиденциальных, но общедоступных данных. Отсутствие надёжной защиты и прозрачности не только подрывает доверие, но и подвергает миллионы пользователей риску мошенничества, кражи личных данных и долгосрочных последствий для конфиденциальности», — сообщает Cybernews.
Утечка данных, объём которой составляет 1,2 миллиарда записей, может стать чрезвычайно опасным инструментом в руках киберпреступников. Наличие большого объёма адресов электронной почты, номеров телефонов и подтверждённой личной информации пользователей Facebook позволяет злоумышленникам легко автоматизировать фишинговые кампании и атаковать целевые цели в больших масштабах.
Вместо необходимости ручного вмешательства эти кампании можно развернуть с использованием автоматизированных роботов, которые генерируют миллионы поддельных сообщений, вредоносных сообщений или фальшивых запросов на вход в систему, персонализированных на основе собранных данных.
Тот факт, что адреса электронной почты из списка на самом деле связаны с аккаунтами Facebook, делает мошенничество ещё более убедительным. Хакеры могут атаковать отдельных пользователей с помощью изощрённых фишинговых кампаний, выдавая себя за Facebook или связанные с ним сервисы, чтобы похитить учётные данные, захватить аккаунты или совершить финансовое мошенничество.
По словам экспертов по безопасности, злоупотребление API становится всё более популярной тактикой злоумышленников. В первой половине этого года несколько крупных платформ, включая Shopify, GoDaddy, Wix и OpenAI, подверглись атакам с использованием API-эксплойтов.
Злоумышленники, мотивированные финансовыми соображениями, даже используют схожие методы для незаконного доступа к криптовалютным кошелькам или сбора персональных данных из недостаточно защищенных систем.
API являются неотъемлемой частью современной цифровой инфраструктуры, позволяя различным сервисам взаимодействовать и обмениваться данными. Однако эта гибкость делает API уязвимыми, если они не находятся под строгим контролем. Злоумышленники могут использовать легитимные API для кражи данных со скоростью и в масштабах, значительно превышающих первоначальные намерения разработчика.
Незаконный сбор данных Facebook — не новость. В прошлом году сама Meta признала, что использовала открытые данные Facebook и Instagram для обучения своего ИИ-помощника, что вызвало споры по поводу конфиденциальности.
Ранее в 2021 году еще одна крупная утечка данных более 500 миллионов пользователей Facebook, включая номера телефонов и местоположения, привела к тому, что Ирландская комиссия по защите данных (DPC) оштрафовала компанию на 265 миллионов евро.
«Повторяющиеся инциденты показывают, что Facebook и многие другие платформы по-прежнему придерживаются реактивной, а не проактивной модели безопасности, особенно когда речь идет о контроле публичных, но конфиденциальных данных», — предупредила исследовательская группа.
«Без надежных механизмов защиты и необходимой прозрачности доверие пользователей подрывается, и миллионы людей становятся потенциальными целями для мошенничества, обмана или даже кражи личных данных», — заявила исследовательская группа.