120 millió Facebook felhasználó adatai kerülhettek ki megint

fbsales.jpg

81 000 Facebook felhasználó privát üzenetei mellett 176 000 további felhasználó privát adatai kerülhetett ki a Facebookról, állítja a BBC Russian Service. Ez azonban csak a jéghegy csúcsa, a BBC szerint egy Internetes fórumban 120 millió Facebook felhasználó adataihoz kínáltak hozzáférést.

Mi történt?

A sztori még szeptemberben kezdődött, akkor jelent meg az FBSaler nevű felhasználó hirdetése, amelyben 120 millió Facebook felhasználó adataihoz ajánlott hozzáférést 10 centes darabáron.

A csomag 81 ezer felhasználó privát üzeneteit is tartalmazta, a díler publikált is olyan beszélgetéseket, amelyek a felhasználók csevegéseiből származtak.

A Digital Shadows is bekapcsolódott az eseménybe, a   BBC kérésére megvizsgálta a mintákat és megerősítette, hogy az adatok hitelesek.

A vizsgált adatok között 176 ezer felhasználó személyes adatai (email cím, telefonszám) is megtalálható, bár ezeket az adatokat a felhasználók saját maguk tették nyilvánossá, így ezeket az adatokat bárki legyűjthette.

(A Digital Shadows a világ egyik legjobb data leak specialista cége, akit esetleg jobban érdekel, hogy mit csinálnak, az keresse fel a magyar partnerüket, a Black Cell Kft.-t)

A BBC Russian Service öt minta adatot ellenőrzött le, felvette a kapcsolatot az érintett öt (egyébként orosz, bár a csomag tartalma nem korlátozódik csak orosz felhasználókra, ukrán, brazil, angol érintettek mellett nagyjából a legtöbb országból tartalmaz adatokat) felhasználóval, akik megerősítették, hogy sajnos valós a tartalom, a minták az ő profiljukból és üzeneteikből származnak.

Az ellenőrzött beszélgetések és adatok között megtalálhatóak voltak frissen készült ünnepi fotók, közelmúltbéli Depeche Mode koncertről, valamint párkapcsolati problémákról szóló beszélgetések, szóval nagyon úgy néz ki, hogy az adatok hitelesek.

A minta adatokat (étlap, étvágygerjesztő tartalom, amely segítségével a vásárló ellenőrizni tudja az adatok hitelességét) egy szentpétervári IP című weboldalon publikálták.

A Cybercrime Tracker oldal szerint az IP cím egyébként kapcsolatba hozható a LokiBot botnet terjesztésével és működtetésével is. A LokiBot egy infostealer malware és botnet, amely a felhasználók gépét megfertőzve jelszavakat és hozzáféréseket lopkod.

Mit mond a Facebook?

A Facebook állítása szerint az adatok nem a Facebook-ból kerültek ki, legalábbis nem azon a módon, ahogyan a legutóbbi nagy botrány során (szóval nem a Facebook sérülékenysége miatt).

A Facebook azt állítja, hogy az adatokat a Chrome, Opera és Firefox böngészőkbe beépült, rosszindulatú bővítmények lopták és küldték el a hackereknek.

A rosszindulatú böngésző bővítmények már korábban is sok esetben okai voltak az ilyen jellegű adatszivárgásoknak, mert a felhasználók előszeretettel töltenek le és telepítenek fel böngészőjükbe jópofának tűnő kiegészítőket.

Rosszindulatú böngésző kiegészítők

A böngésző kiegészítőkkel sajnos azonban pontosan ugyanaz a baj, mint az Androidos alkalmazásokkal: a shopokba gyakran magát viccesnek vagy hasznosnak álcázó, de a valóságban kártékony kiegészítők kerülhetnek fel. 

Ilyenek lehetnek könyvjelző alkalmazások, jelszókezelők, hírolvasók, stb. de sajnos a legextrémebb marhaságokra is nyitottak a felhasználók: minden „r” betűt „l” betűre cserélő kiegészítő, vagy Trump nevét vicces „idézetekkel” kiegészítő Trumpinator3000 bővítmény, csillámpónikat beillesztő kiegészítő – vagy akár magyar vonatkozásban képen is szereplő az Orbanizer beépülő modul.

orbanizer.png

A Facebook szerint most is ez történt, az érintett felhasználók adatai több hasonló rosszindulatú böngésző-kiegészítő miatt kerülhettek ki, és bár a Facebook nem nevezte meg ezeket a kiegészítőket, állításuk szerint mindent megtettek azért, hogy az alkalmazásokat töröltessék a böngészők bővítményeket áruló és letöltési piactereikről.

Nem az oroszok(?)

A BCC megpróbálta megtudni az eladótól, hogy az adatok honnan származnak, a Cambridge Analytica botrányból vagy a szeptemberi nagy adatszivárgási incidensből származó adatokról van-e szó.

A hackerek részéről a megbízható nevű John Smith válaszolt angolul a kérdésekre, és elmondta, hogy az adatoknak nincs köze a korábbi adatszivárgási eseményekhez, a teljes csomag 120 millió személyt tartalmaz, amelyből 2,7 millió orosz nemzetiségű és nem, nem az orosz kormányzat áll az események mögött.

A Digital Shadow egyébként megkérdőjelezi a 120 milliós érintettséget, véleményük szerint egy ekkora eseményt a Facebooknak is észlelnie kellett volna – ami jogos felvetés, hiszen a szeptemberi 30 milliós érintettségű eseményt is észlelni tudták. (Nyilván, ha az adatokat a felhasználók gépéről lopta egy malware, vagy böngésző kiegészítő, az eseményt a Facebook nem tudja észlelni, szóval ez is a rosszindulatú böngésző kiegészítő verziót erősíti).

Bárhogy is történt, az biztos, hogy valós adatok kerültek ki, és ez nem jön jól a Facebooknak, akik még nem heverték ki a korábbi eseményeket sem, bár éppen most akarnak biztonsági céget felvásárolni.

Ha a böngésző kiegészítők a felelősek az adatszivárgásért, a port akkor is a Facebookon verik el, holott inkább a böngészőgyártók felelősségén kellene elgondolkodni, nekik kellene a piactereikre felkerülő alkalmazások közül kiszűrni azokat, amelyek ilyen eseményeket okozhatnak.

És persze a felhasználók felelőssége mellett sem szabad szótlanul elmenni.

A felelőtlenül telepítgetett alkalmazások vagy böngésző kiegészítők korábban is sok bajt okoztak, és szerintem most is ez történhetett. 

Vállalati környezetben az Active Directory és GPO segítségével tilthatók a böngészők bővítményeinek telepítései, szóval aki esetleg még nem gondoskodott arról, hogy a felhasználói ne tudjanak kiegészítőket letölteni és bekapcsolni a böngészőkben, annak talán a mostani példa meghozza a kedvét arra, hogy bekjapcsolja vagy megvalósítsa ezt a védelmet.