Данные 1,2 миллиарда пользователей Facebook, Twitter и LinkedIn утекли в открытый доступ
Крупные американские соцсети и сервисы допустили утечку информации об 1,2 млрд пользователей. Все эти сведения хранились в единой базе данных, аккуратно рассортированные и скомпонованные. Владелец БД пока не установлен.
Ненадежные соцсети
В интернете обнаружена база данных, содержащая личные данные 1,2 млрд пользователей социальных сетей со всего мира. Суммарный объем информации, по большей части текстовой, превысил 4 ТБ.
Утечка затронула пользователей трех социальных сетей – Facebook, Twitter и LinkedIn (заблокирована на территории России). Также пострадали пользователи проекта GitHub, с 2018 г. принадлежащего корпорации Microsoft – он позволяет разработчикам размещать на своих серверах исходные коды программ.
Общее количество скомпрометированных профилей перевалило за несколько сотен миллионов на каждую из соцсетей. В открытом доступе находились 622 млн адресов электронной почты, 50 млн номеров телефонов, а также записи из истории трудоустройства. По данным ресурса Wired, база данных не содержала информацию о банковских картах, номерах социального страхования, а также в ней не было паролей от аккаунтов.
Где хранилась БД
База данных находилась в полностью открытом доступе в сервисе Google Cloud Services – имея высокую скорость подключения к интернету и достаточный объем свободного места, ее мог скачать кто угодно, из практически любой страны мира. Базу обнаружил американский исследователь в области информационной безопасности Винни Тройя (Vinny Troia).
О своей находке Тройя сообщил в ФБР. Как долго БД находилась в свободном доступе, и успел ли кто-либо скачать ее и воспользоваться сведениями из нее, на момент публикации материала известно не было. В настоящее время сервер, на котором хранилась база, по распоряжению ФБР временно отключен.
Кто ответственен за утечку
На 25 ноября 2019 г. не было известно, кому принадлежала скрытая база данных. ФБР отказывается комментировать ситуацию, однако Винни Тройя, обнаруживший ее, отметил, что в ней содержалось четыре комплекта данных. Три из них указывали на People Data Labs – американского брокера данных. На его официальном сайте сказано, что он располагает информацией о 1,5 млрд человек, включая 250 млн из США. Также проект владеет сведениями о более 1 млрд адресах электронной почты, 420 млн страниц в LinkedIn, свыше 1 млрд страниц и ID в Facebook и более 400 млн номеров телефонов.
Представители компании прокомментировали возможную связь People Data Labs с утекшей базой. По словам соучредителя компании Шона Торна (Sean Thorne), PDL не имеет отношения ни к БД, ни к серверу, на котором она размещалась. В итоге, владельца базы еще предстоит установить.
Бесконечные утечки в соцсетях
Появление информации о пользователях в открытом доступе для крупных американских соцсетей стало, в некотором роде, стандартной практикой. Наиболее часто с утечкой информации сталкивается Facebook – крупнейшая социальная сеть в мире.
К примеру, летом 2018 г. стало известно, что Facebook допустила «кражу» сведений о более чем 87 млн пользователей – эту информацию на протяжении трех лет, с 2015 г., собирала и использовала в своих целях основанная в 2013 г. британская исследовательская компания Cambridge Analytica.
В июне 2018 г. выяснилось, что Facebook в течение целых 10 лет передавал личную информацию пользователям 60 компаний, среди которых Apple, Samsung и Microsoft.
В сентябре 2018 г. вскрылась еще одна утечка из Facebook, скомпрометировавшая данные еще 50 млн пользователей. Facebook установил факт атаки на свои сети, которая затронула пользователей, просматривавших собственные страницы с помощью функции «посмотреть как». Функция позволяет увидеть страницу «чужими глазами» — в том виде, в каком она отображается для кого-либо из других пользователей.
Facebook, в целом, не всегда уделяет достаточно внимания безопасности своих пользователей. Так, в марте 2019 г. CNews сообщал, что компания хранила сотни миллионов паролей в открытом виде, без намека на шифрование, на внутренних серверах компании. Данная проблема коснулась как самой социальной сети, так и фотосервиса Instagram.
Однако не только Facebook допускает подобные проколы – в декабре 2018 г. корпорация Google официально заявила об утечке личных данных пользователей социальной сети Google+. Проблема затронула 52,5 млн владельцев аккаунтов. В апреле 2019 г. данная соцсеть была закрыта.
Гигантские утечки в России
В России тоже происходят утечки личной пользовательской информации, не очень крупные в мировых масштабах, но огромные в масштабах одной страны. В течение 2019 г. произошло как минимум шесть случаев утечки сведений о клиентах российских банков, операторов связи и крупных отечественных онлайн-сервисов.
В апреле 2019 г. случилась первая в истории утечка данных Центробанка России — сразу на 120 тыс. клиентов. Это была информация о клиентах из «черного списка» Центробанка, с которыми банки отказались работать по закону о противодействии отмыванию денег и финансированию терроризма. В списке присутствовали как физлица и индивидуальные предприниматели, так и компании.
В июле 2019 г. в открытый доступ попали почти полмиллиона логинов и паролей, как минимум часть из которых относится к аккаунтам клиентов онлайн-магазина Ozon. Ритейлер считает, что жертвы утечки использовали одинаковые пароли для разных сервисов, а данные утекли в Сеть с других ресурсов.
В начале октября 2019 г. Сбербанк допустил крупнейшую в истории российского банковского сектора утечку – на продажу была выставлена база данных со сведениями о 60 млн клиентов банка. Подлинность информации получила подтверждение.
Спустя всего четыре дня аналогичная ситуация произошла в «Билайне» – одном из крупнейших российских операторов связи. Он допустил утечку персональных данных своих абонентов проводного интернета. Скомпрометированы имена, номера телефонов и даже домашние адреса более 2 млн человек, и CNews получил подтверждение подлинности этой информации.
В середине октября 2019 г. в интернет слили данные о миллионах россиян-заемщиков. Также утечке подверглись сведения об абонентах операторов «Мегафон» и МТС.
Сбербанк повторно отметился в списке крупнейших утечек 24 октября 2019 г. На этот раз архив с данными состоял из 1 млн строк, по одной на клиента, но был дополнен биометрией – образцами их голосов.