Moscow-Live.ru

Неизвестные хакеры опубликовали в Сети базу данных, содержащую данные 257 тысяч пользователей социальной сети Facebook, включая личные сообщения примерно трети из них. Русская служба BBC провела собственное расследование и пришла к выводу, что след утечки может вести в Россию.

По данным журналистов, пост о продаже персональных данных пользователей Facebook впервые был опубликован еще в начале сентября на англоязычном форуме Blackhatworld, посвященном поисковой оптимизации. Автор записи под ником FBSaler утверждал, что в его распоряжении есть база, включающая сведения о 120 млн учетных записей с возможностью выборки по странам. Продавать эти сведения FBSaler и его подельники были готовы по цене 10 центов за один аккаунт.

В качестве доказательства к посту была прикреплена ссылка на сайт Fbserver, где и были опубликованы данные свыше 250 тысяч пользователей. В начале октября сайт Fbserver перестал работать, но дважды перезапускался на новой площадке. Последнее "зеркало" портала носило название Socialser21 и работало до 29 октября.

По просьбе Русской службы BBC британская компания Digital Shadows провела анализ опубликованных сведений. Эксперты пришли к выводу, что подборка в основном включала данные пользователей с Украины (47 тысяч аккаунтов). Россия была представлена 12 тысячами учетных записей, а всего на сайте было почти 200 страновых разделов. В основном записи содержали сведения биографического характера и списки друзей пользователей. В некоторых случаях также были указаны даты рождения и номера телефонов.

Также аналитики установили, что 81 тысяча записей содержала не только данные владельцев учетных записей, но и их личные сообщения – подлинность опубликованной переписки подтвердили пятеро пользователей из Москвы, Белгорода и Перми, к которым обратились журналисты.

Выставленные на продажу данные не связаны с компанией Cambridge Analytica и недавней утечкой в Facebook

В публикации отмечается, что сайты с выставленными на продажу аккаунтами позиционируют себя как "Facebook camanalytica archive" – архив данных из скандальной утечки, связанной с компанией Cambridge Analytica. Однако это вряд ли соответствует действительности, поскольку, по данным СМИ Cambridge Analytica получила доступ к личной переписке лишь 1500 пользователей. Кроме того, британская компания собрала данные почти 90 млн аккаунтов, актуальные на 2015 год, тогда как в выставленной на продажу базе содержатся личные сообщения, отправленные в конце мая 2018 года.

По всей видимости, обнародованная база не имеет отношения и к недавней масштабной утечке данных пользователей Facebook, поскольку атака на соцсеть произошла после появления сайта Fbserver.

Не исключено, что хакерам удалось получить данные пользователей при помощи вредоносных расширений для браузеров, которые получили доступ к данным, размещенным в Facebook. К такому выводу пришли представители соцсети, которые провели собственное расследование. По словам вице-президента Facebook по управлению продуктами Гая Розена, компания связалась с разработчиками браузеров, чтобы убедиться, что расширения уже недоступны для скачивания. Кроме того, Facebook обратилась в правоохранительные органы, чтобы отключить сайт с персональными данными. О какой из трех реинкарнаций Fbserver идет речь, Розен не уточнил. Также он не сообщил, сколько учетных записей могла затронуть эта утечка.

"Русский след"

Как отмечается в публикации, совокупность признаков показывает, что к запуску портала, а, возможно, и к самой утечке могли иметь отношение люди, связанные с Россией. Либо же кто-то намеренно хотел оставить "русский след". В пользу этой версии свидетельствует тот факт, что создатель сайта Fbserver указал при регистрации почту на Mail.ru. Кроме того, по состоянию на начало октября у портала был петербургский IP-адрес, который ранее использовался для рассылки вируса LokiBot, похищающего пароли.

По данным американской компании ThreatConnect, с Fbserver связаны еще около 20 ресурсов, часть из которых использует или использовала российские IP-адреса. На родство этих сайтов указывают общие DNS-сервера, почта администратора и другие признаки.

Что же касается "зеркала" Socialser21, то один из его IP-адресов принадлежит российскому хостинг-провайдеру King Servers. В 2016 году ThreatConnect обнаружила, что шесть из восьми адресов, через которые шла атака на сервера Демократической партии США в 2016 году, также были закреплены за King Servers. В компании тогда заявили, что осуществлявшие атаку хакеры арендовали их оборудование. После обращения журналистов по поводу сайта с данными пользователей Facebook директор King Servers Владимир Фоменко заявил, что дал указание отключить Socialser21 от сервера. Информацию о тех, кто стоит за порталом, Фоменко готов раскрыть только по запросу правоохранительных органов или суда.

Корреспондент BBC также написал письмо на email, указанный на Fbserver в качестве адреса для связи с хакерами. В ответ он получил письмо на английском языке за подписью "Джона Смита". "Смит" подчеркнул, что у его команды якобы есть данные 120 млн пользователей соцсети (из них 2,7 млн – из России), которые хакеры готовы продать за 12 млн долларов. На вопрос о том, имеют ли хакеры отношение к России "Смит" ответил отрицательно.