Rapport: 267 millioner Facebook-brugeres ID'er og telefonnumre afsløret online (OPDATERING: nu 309 millioner)
En database med mere end 267 millioner Facebook-bruger-id'er, telefonnumre og navne blev efterladt eksponeret på nettet, så alle kunne få adgang til dem uden adgangskode eller anden godkendelse.
Comparitech samarbejdede med sikkerhedsforsker Bob Diachenko for at afdække Elasticsearch-klyngen. Diachenko mener, at mængden af data højst sandsynligt er resultatet af en ulovlig skrabeoperation eller Facebook API-misbrug af kriminelle i Vietnam, ifølge beviserne.
Oplysningerne i databasen kan bruges til at gennemføre store SMS-spam- og phishing-kampagner, blandt andre trusler mod slutbrugere.
Diachenko underrettede straks internetudbyderen, der administrerede serverens IP-adresse, så adgangen kunne fjernes. Diachenko siger dog, at dataene også blev sendt til et hackerforum som en download.
Opdatering den 6. marts 2020:En anden server blev afsløret af, hvad der ser ud til at være den samme kriminelle gruppe. Dataene i denne server er identiske med den første, plus yderligere 42 millioner poster. Vi har opdateret denne artikel i overensstemmelse hermed.
Vil du gøre mere for at beskytte dit privatliv og sikkerhed?Se vores liste over anbefalede værktøjer:- Bedste VPN'er
- Bedste antivirus
- Bedste adgangskodeadministratorer
- Bedste beskyttelse mod identitetstyveri
Tidslinje for eksponeringen
Databasen blev eksponeret i næsten to uger, før adgangen blev fjernet. Her er hvad vi ved:
- 4. december 2019 – Databasen blev første gang indekseret af søgemaskiner.
- 12. december 2019 – Dataene blev sendt som download på et hackerforum.
- 14. december 2019 – Diachenko opdagede databasen og sendte straks en misbrugsrapport til internetudbyderen, der administrerede serverens IP-adresse.
- 19. december 2019 – Adgang til databasen blev fjernet.
- 2. marts 2020 – En anden server med identiske poster plus yderligere 42 millioner blev indekseret af søgemaskinen BinaryEdge.
- 4. marts 2020 – Diachenko opdagede den anden server og advarede hostingudbyderen.
- 4. marts 2020 – Serveren blev angrebet og ødelagt af ukendte aktører.
Når vi finder udsatte personoplysninger som denne, tager vi typisk skridt til at underrette ejeren af databasen. Men fordi vi mener, at disse data tilhører en kriminel organisation, gik Diachenko direkte til de parter, der var vært for serverne og de relevante IP-adresser.
Kort efter Diachenko opdagede den anden server, blev den angrebet af en ukendt part. Databaserne med personlig information blev erstattet med dummy-data og databasenavne, der læste 'please_secure_dine_servere”.
Udsat database efter ukendt angreb.
Hvilke data blev afsløret
I første omgang blev 267.140.436 poster afsløret. De fleste af de berørte brugere var fra USA. Diachenko siger, at de alle ser ud til at være gyldige. Hver indeholdt:
- Et unikt Facebook-id
- Et telefonnummer
- Et fulde navn
- Et tidsstempel
Serveren inkluderede en landingsside med et login-dashboard og en velkomstbesked.
Facebook-id'er er unikke offentlige numre knyttet til specifikke konti, som kan bruges til at skelne en kontos brugernavn og andre profiloplysninger.
Den anden server, der blev afsløret i marts 2020, indeholdt de samme 267 millioner poster som den foregående, plus yderligere 42 millioner poster. Det blev hostet på en amerikansk Elasticsearch-server. 25 millioner af disse poster indeholdt lignende oplysninger: Facebook-id'er, telefonnumre og brugernavne.
16,8 millioner af de nye poster indeholdt endnu mere information, herunder:
- Facebook ID
- Telefonnummer
- Profil detaljer
- Email adresse
- Nogle andre personlige detaljer
Hvordan fik kriminelle Facebook-data?
Hvordan kriminelle har fået bruger-id'erne og telefonnumrene er ikke helt klart. En mulighed er, at dataene blev stjålet fra Facebooks udvikler-API før virksomheden begrænset adgang til telefonnumre i 2018. Facebooks API bruges af app-udviklere til at tilføje social kontekst til deres applikationer ved at få adgang til brugernes profiler, venneliste, grupper, billeder og begivenhedsdata. Telefonnumre var tilgængelige for tredjepartsudviklere før 2018.
Diachenko siger, at Facebooks API også kunne have et sikkerhedshul, der ville give kriminelle adgang til bruger-id'er og telefonnumre, selv efter at adgangen var begrænset.
En anden mulighed er, at dataene blev stjålet uden overhovedet at bruge Facebook API, og i stedet skrabet fra offentligt synlige profilsider.
'Scraping' er et udtryk, der bruges til at beskrive en proces, hvor automatiserede bots hurtigt gennemgår et stort antal websider og kopierer data fra hver enkelt til en database. Det er svært for Facebook og andre sociale medier at forhindre udskrabning, fordi de ofte ikke kan kende forskel på en legitim bruger og en bot. Skrabning er imod Facebooks – og de fleste andre sociale netværks – servicevilkår.
Mange mennesker har deres Facebook-profils synlighedsindstillinger sat til offentlig, hvilket gør det trivielt at skrabe dem.
Det er ikke første gang en sådan database er blevet afsløret. I september 2019, 419 millioner poster på tværs af flere databaser blev afsløret . Disse omfattede også telefonnumre og Facebook-id'er.
Farer ved blotlagte data
En så stor database vil sandsynligvis blive brugt til phishing og spam, især via SMS. Facebook-brugere bør være på udkig efter mistænkelige tekstbeskeder. Selvom afsenderen kender dit navn eller nogle grundlæggende oplysninger om dig, skal du være skeptisk over for uopfordrede beskeder.
Facebook-brugere kan minimere chancerne for, at deres profiler bliver skrabet af fremmede ved at justere deres kontos privatlivsindstillinger:
- Åbn Facebook og gå til **Indstillinger**
- Klik **Privatliv**
- Indstil alle relevante felter til **venner** eller **Kun mig**
- Sæt **'Vil du have, at søgemaskiner uden for Facebook linker til din profil** til **Nix**
Dette vil reducere chancerne for, at din profil bliver skrabet af tredjeparter, men den eneste måde at sikre, at det aldrig sker igen, er helt at deaktivere eller slette din Facebook-konto.
Hvordan og hvorfor vi opdagede disse data
Comparitech arbejder sammen med Bob Diachenko om at afdække usikrede databaser og rapportere dem til offentligheden. Vores mål er at begrænse ondsindede parters adgang til og misbrug af personlige data og at øge bevidstheden blandt de berørte om de potentielle risici.
Efter at have opdaget afslørede data, underretter Diachenko straks de ansvarlige, så databasen kan lukkes ned eller sikres. Vi analyserer derefter lækagen for at identificere ofre, varigheden af eksponeringen og eventuelle potentielle trusler, ofre kan stå over for.
Tidligere rapporter
Comparitech og Diachenko slår sig jævnligt sammen for at afdække eksponerede data. Nogle af vores andre rapporter inkluderer:
- 2,7 milliarder afslørede e-mail-adresser fra hovedsageligt kinesiske domæner, hvoraf 1 million inkluderede adgangskoder
- Detaljerede personlige optegnelser over 188 millioner mennesker fundet eksponeret på nettet
- 7 millioner elevrekorder afsløret af K12.com
- 5 millioner personlige optegnelser tilhørende MedicareSupplement.com udsat for offentligheden
- 2,8 millioner CenturyLink-kunderegistreringer afsløret
- 700.000 Choice Hotels kunderegistre lækket
DeHashed.com , en brudmeddelelse, forebyggelse og konsulenttjeneste, opdagede også den anden dataeksponering og kontaktede os for at bekræfte beviser, der indikerer, at den samme kriminelle gruppe var ansvarlig.