Хакеры похитили данные 257 тысяч пользователей Facebook, следы взлома ведут в РФ, – BBC

В сеть утекла информация 257 тысяч аккаунтов Facebook, у 81 тысячи из них доступны даже личные сообщения.

Как сообщает Русская служба BBC, хакеры утверждают, всего у них есть данные на 120 млн пользователей, и готовы продать весь массив информации любому желающему за 12 млн долларов.

Отмечается, что в начале сентября на англоязычном форуме Blackhatworld, посвященном поисковой оптимизации, появился загадочный пост от нового пользователя с ником FBSaler.

"Мы продаем персональную информацию пользователей "Фейсбука". Наша база включает 120 миллионов аккаунтов, с возможностью выборки по конкретным странам. Стоимость одного профайла составляет 10 центов", - говорилось в сообщении.

Пользователь также предоставил ссылку на сайт Fbserver, где в качестве примера была выложена часть данных. Журналисты не нашли подтверждения информации о наличии у хакеров 120 млн аккаунтов, однако на Fbserver действительно попали персональные данные пользователей соцсети.

В начале октября Fbserver прекратил работу, но дважды перезапускался на новой площадке. Последнее "зеркало" портала носило название Socialser21 и работало до 29 октября. Сейчас оно также недоступно.

Как показал анализ британской компании Digital Shadows, проведенный по просьбе журналистов, на Socialser21 была опубликована информация на 257 тысяч аккаунтов. Активнее всего представлена Украина: 47 тысяч пользователей. Россию в качестве страны проживания указали 12 тысяч человек. Всего на сайте почти 200 разделов по странам, в выборке есть аккаунты стран СНГ, а также из Великобритании, США и Бразилии.

У трети всего массива данных (81 тысяча профайлов) в открытом доступе были выложены личные сообщения. Журналисты связались с пятью гражданами РФ из Москвы, Белгорода и Перми, чья личная переписка была доступна на Socialser21, и все они подтвердили ее подлинность.

Утверждается, что в личных сообщениях пользователей можно встретить поздравления с праздниками, обсуждение концерта Depeche Mode, жалобы тещи на измены зятя, переписку с поклонниками, выяснение отношений между двумя влюбленными и жалобы на то, что "нет просвета в жизненной рутине".

По остальной части аккаунтов в сеть были выложены основные биографические данные со списком друзей. Иногда биография дополнена днем рождения и мобильным телефоном.

Как утверждают в BBC, совокупность признаков показывает, что и к запуску порталов, и, возможно, ко взлому могли иметь отношение люди, связанные с Россией. Либо те, кто хотел бы, чтобы остался "русский след".

Так, сайт Fbserver был создан в конце августа 2018 года, это следует из данных сервиса WhoIs. Регистрационная информация – противоречивая. Владелец портала по имени Namy Mayly якобы живет в Пакистане. При создании ресурса была указана почта от российского сервиса Mail.ru. Кроме того, по состоянию на начало октября у портала был петербургский IP-адрес.

С Fbserver связаны еще около 20 ресурсов, подсчитали в американской компании ThreatConnect. Часть из них используют или использовали российские IP-адреса (Москва, Санкт-Петербург или Владимирская область). Родство этих сайтов друг с другом видно по общим DNS-серверам, общей почте администратора и другим признакам. Как правило, сайты имеют доменное имя в зоне .ug (Уганда) или .hk (Гонгконг), почту от российских сервисов (например, Mail.ru) в качестве контакта администратора, иногда - российские имена и фамилии в разделе "Имя регистратора" и даже российские мобильные телефоны.

Один из IP-адресов Socialser21 принадлежит российскому хостинг-провайдеру King Servers. В 2016 году компания ThreatConnect обнаружила, что шесть из восьми адресов, через которые шла атака на сервера Демократической партии США в 2016 году, также были закреплены за King Servers. В компании тогда говорили, что не имели отношения к хакерам, которые лишь арендовали оборудование.

Директор King Servers Владимир Фоменко заявил, что дал указание отключить Socialser21 от сервера сразу после получения вопросов журналистов. Информацию о тех, кто стоит за порталом, Фоменко готов раскрыть только по запросу правоохранителей.

Специалисты полагают, что за проектом могут стоять киберпреступники, имеющие отношение к России: на связанных с Fbserver сайтах был обнаружен "подозрительный контент". Однако имеющейся информации недостаточно для того, чтобы определить конкретную хакерскую группу, заключают в ThreatConnect. Допускается также, что те, кто сумел выкачать информацию о пользователях "Фейсбука", и те, кто в итоге создал эти сайты, могут оказаться разными людьми. 

Журналисты направили письмо на e-mail, указанный в качестве контактного на сайте Fbserver и его "зеркалах" для желающих приобрести данные пользователей. Ответ пришел по-английски за подписью "Джона Смита". По его словам, всего у его команды якобы есть данные на 120 млн пользователей, из них 2,7 млн - из РФ. Весь массив можно приобрести за 12 млн долларов.