В открытом доступе появилась база объемом в 4 терабайта личной информации — всего около 1,2 миллиарда записей с подробнейшими сведениями о пользователях соцсетей и других популярных ресурсов. Утечка затрагивает тех, кто зарегистрирован в Facebook, Twitter, LinkedIn и Github, передает VRK.News со ссылкой на wired.com.
В этой утечке в основном агрегированы сведения, которые и так были доступны открыто (то есть фактически просто скопированы профили пользователей и содержимое их личных страниц). Тем не менее, там также собраны номера их телефонов и другая личная информация, которая была закрыта настройками приватности. Паролей от учётных записей и платёжной информации в базе нет.
Утечку нашли эксперты по кибербезопасности Винни Троя и Боб Дьяченко с помощью сканирующих сервисов BinaryEdge и Shodan. Они выяснили, что база располагается на сервере с IP-адресом Google Cloud. Скачал ли её кто-либо ещё прежде, чем она была обнаружена ИБ-специалистами, неизвестно, но найти её не составило им большого труда. Троя сообщил о своей находке в ФБР, и спустя несколько часов доступ к этой базе был закрыт.
«Плохо, что кто-то собрал такую базу и выложил её в открытый доступ. Я впервые вижу такой огромный массив данных с профилями, собранными из различных социальных сетей. Этот файл предоставляет злоумышленникам возможность деанонимизировать людей или взламывать их учётные записи, поскольку там можно увидеть их имена, телефонные номера и ссылки на их профили. Это огромный объём информации, с которой можно начать атаку на пользователя», — заявил Винни Троя.
Имя файла с базой указывает на компанию People Data Labs из Сан-Франциско, но её основатель Шон Торн отрицает причастность к утечке.
На сайте People Data Labs указано, что компания продаёт данные 1,5 млрд людей по всему миру, в том числе 260 млн жителей США. Она предлагает более миллиарда персонифицированных адресов электронной почты, более 420 миллионов ссылок на профили LinkedIn, более миллиарда ссылок на профили Facebook и более 400 миллионов телефонных номеров, включая 200 миллионов валидных номеров из США.
Троя не считает, что данные были похищены у People Data Labs, поскольку было бы проще купить их у компании, а если денег на полную базу недостаточно, можно было бы оформить бесплатную подписку на ежемесячное получение информации о тысяче пользователей. Троя также отмечает, что в некоторых записях содержится отметка OXY, которая может указывать на брокера данных Oxydata из Айоминга. Известно, что эта компания собрала 4-терабайтную базу с 380 млн профилей работодателей и клиентов в 85 сферах деятельности из 195 стран мира. Представитель Oxydata отрицает утечку данных из компании.
Винни Троя предоставил базу основателю сервиса Have I Been Pwned? Трою Ханту, и тот пополнил свой репозиторий утечек 622 млн уникальных записей с адресами электронной почты и другими данными.
Этот инцидент в очередной раз доказал, что в бесплатных сервисах товаром является сам пользователь. Все его данные, которыми он добровольно поделился в соцсетях, представляют определённую ценность, а тот, кто их купит, с большой долей вероятности будет использовать их против него самого.