Безпрецедентно голям масив от данни от социалната мрежа „Фейсбук” е обявен за продан, съобщава руската служба на Би Би Си, която публикува голямо разследване по темата. Киберпрестъпници твърдят, че разполагат с информация за 120 млн. потребители, като експерти по киберсигурност вече са потвърдили достоверността на част от профилите, предлагани за продан.

Проверка на bTV в пуснати за доказателство части от масивите показа, че там има и български потребители – най-малко с пълно име, рождена дата, посочена месторабота и адрес и телефонен номер. За част от „похитените” профили хакерите твърдят, че разполагат и с личната кореспонденция.

Според разследване на „Фейсбук” вероятно хакерите са се добрали до данните с помощта на компрометирано разширение на уеб браузър (т.е. например инструмент за блокиране на реклами, за сваляне на видеа от „Ютуб” или за достъп до игри и мултимедийно съдържание – б.р.).

Голям „социален” удар

Всичко започва през август тази година, когато е регистриран сайт с име Fbserver – на името на пакистанец, но с административен контакт поща в руската мейл услуга mail.ru. Месец след това в хакерски форум потребител предлага 120 млн. „Фейсбук” профила на цена 10 цента бройката.

Вероятно с рекламна цел, по-късно част от тази информация (257 000 профила) се появява именно на Fbserver, който през последните седмици многократно сменя името си и сървърите, от които работи. От компанията за киберсигурност Digital Shadows са направили анализ на хилядите качени на хакерския сайт профили и сред тях има хора от цял свят, включително 47 000 украинци, 12 000 руснаци, американци, британци, бразилци и други.

Би Би Си – Русия не може да потвърди обявената бройка от 120 млн. хакнати акаунта, а експертите са скептични за така "рекламирания" мащаб на пробива, но проверката на медията е показала, че няколко произволно избрани профила са истински.

Още по-притеснителното е, че киберпрестъпниците твърдят, че 81 000 профила са и с пълна хронология на личните съобщения. Поне за няколко от тях това вече е сигурно – авторите на материала са се свързали с реалните хора и те са потвърдили съдържанието на публикуваните чатове.

Кой, къде, защо?

До момента е установено, че Fbserver и „клонингите” му са работили от IP адреси, свързани с троянския кон LokiBot, използван за крадене на пароли. Не е сигурна обаче връзката между тези киберпрестъпления.

Друга любопитна връзка е руската хостинг компания King Servers, където също за известно време са се намирали крадените данни. Именно от нейни IP адреси е установено, че са дошли повечето от кибератаките срещу Демократическата партия на САЩ преди изборите през 2016 г. King Servers посочиха пред Би Би Си, че единствено предоставят място за качване на сайтове и не сътрудничат на хакери.

Администратор на Fbserver, нарекъл се „Джон Смит” и използвал системата за скриване на онлайн самоличност Tor, заяви пред Би Би Си, че профилите на сайта не са откраднати с помощта на инструментите на „Кеймбридж Аналитика” или след други по-ранни пробиви в сигурността. По думите му руските акаунти в „колекцията” са 2,7 млн.

Целият масив пък се продава за 12 млн. долара.

Има ли общо „Джон Смит” с Русия или с нейните кибератаки? „Не”, е краткият отговор на хакера.