Több százmillió Facebook felhasználó telefonszáma szivárgott ki
Az adatokat ismeretlenek egy szabadon hozzáférhető szerveren tárolták, azt egyelőre még nem tudni hogy kik, és milyen céllal állították össze a méretes adatbázisokat.
Ősszel sem maradunk Facebook adatbotrány nélkül, ezúttal a közösségi oldal nem kevesebb mint 419 millió felhasználójának telefonszámai szivárogtak ki. Az esetről először a TechCrunch számolt be, miután Sanyam Jain, az adatokat felfedező biztonsági szakértő felvette a kapcsolatot a lappal.
A kutató szerint az adatokra egy külső, egyelőre ismeretlen tulajdonos által üzemeltetett szerveren bukkant rá, ahol azok bármilyen jelszó vagy egyéb védelem nélkül, szabadon hozzáférhetők voltak. A szerveren tárolt adatbázisok bejegyzései a telefonszámok mellett a hozzájuk tartozó Facebook ID-t is tartalmazták, amelyekből egyszerűen kideríthető a telefonszám tulajdonosának felhasználóneve.
A Facebook tavaly áprilisban szigorított biztonsági szabályozásain, és kivette a telefonszámokat a nyilvános profiladatok közül. A cég ezt a lépést már tavaly azzal indokolta, hogy miután a felhasználókra telefonszámuk alapján is lehetséges rákeresni, rosszindulatú felek különböző scraping eljárásokkal a fentihez hasonló, méretes, neveket és a hozzájuk tartozó telefonszámokat is tartalmazó adatbázisokat állítottak össze. Akkor a vállalat arról beszélt, saját felmérései szerint "a Facebook nagy része" már bekerült a módszerrel készített adatbankokba.
A Gitlab mint DevSecOps platform (x) Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.
Ennek megfelelően a most felfedezett adatbázisok is a tavalyi szigorítás előtt készülhettek, amit a Facebook szóvivője, Jay Nancarrow is megerősített a TechCrunch-nak nyilatkozva. Nancarrow szerint a megvizsgált adatok a korlátozást megelőző időszakokból származnak, és a vállalat egyelőre nem talált arra utaló nyomot, hogy azokkal bárki visszaélt volna a Facebook fiókokhoz való hozzáférés céljából. Az adatokkal ugyanakkor nem csak a közösségi oldalon létrehozott profilok válnak támadhatóvá, a telefonszámok birtokában azok begyűjtői spam hívásokkal bombázhatják a felhasználókat, de akár a SIM-cserés támadások előtt is utat nyithat, azaz a támadók az adott mobilszolgáltató ügyfélszolgálatán magukat az áldozatnak kiadva, új SIM-et szerezhetnek az eredeti telefonszámmal.
Azt egyelőre nem tudni, kik állhatnak a több százmillió felhasználó adatait tartalmazó adatbázis mögött, ahogy azt sem, az elkövetők pontosan mikor, és milyen célból gyűjtötték be az információkat. Miután a TechCrunch felvette a kapcsolatot az érintett adatbázisokért felelős web hosttal, az rövid időn belül lekapcsolta a hozzáférést a szerverekhez. Arról egyelőre nem derült ki minden részlet, hogy az adatok milyen földrajzi régiókra vonatkoznak, az azonban ismert, hogy azok között mintegy 133 millió egyesült államokbeli felhasználó telefonszáma található meg, további 18 millió adat az Egyesült Királyságban, 50 millió pedig Vietnámban élő személyekhez tartozik.