267 milhões de IDs e números de telefone de usuários do Facebook foram expostos on-line
/imgs.jusbr.com/publications/images/f88f9656ec39f8d87106f467f5d0ab2a)
Um banco de dados contendo mais de 267 milhões de IDs de usuário, números de telefone e nomes do Facebook foi deixado exposto na Web para qualquer pessoa acessar sem uma senha ou qualquer outra autenticação.
A Comparitech fez uma parceria com o pesquisador de segurança Bob Diachenko para descobrir o cluster do Elasticsearch. Diachenko acredita que os dados são provavelmente o resultado de uma operação ilegal de raspagem ou abuso da API do Facebook por criminosos no Vietnã, de acordo com as evidências.
As informações contidas no banco de dados podem ser usadas para realizar campanhas de spam e phishing em grande escala por SMS, entre outras ameaças aos usuários finais.
Diachenko notificou imediatamente o provedor de serviços de Internet que gerenciava o endereço IP do servidor para que o acesso pudesse ser removido. No entanto, Diachenko diz que os dados também foram postados em um fórum de hackers como um download.
Linha do tempo da exposição
O banco de dados foi exposto por quase duas semanas antes do acesso ser removido. Aqui está o que sabemos:
- 4 de dezembro - O banco de dados foi indexado pela primeira vez.
- 12 de dezembro - Os dados foram publicados como um download em um fórum de hackers.
- 14 de dezembro - Diachenko descobriu o banco de dados e imediatamente enviou um relatório de abuso ao ISP, gerenciando o endereço IP do servidor.
- 19 de dezembro - o banco de dados está indisponível no momento.
Normalmente, quando encontramos dados pessoais expostos como esse, tomamos medidas para notificar o proprietário do banco de dados. Mas porque acreditamos que esses dados pertencem a uma organização criminosa, Diachenko foi direto ao ISP.
Quais dados foram expostos
No total, 267.140.436 registros foram expostos. A maioria dos usuários afetados era dos Estados Unidos. Diachenko diz que todos eles parecem válidos. Cada um continha:
- Um ID exclusivo do Facebook
- Um número de telefone
- Um nome completo
- Um carimbo de data / hora
O servidor incluiu uma página de destino com um painel de login e uma nota de boas-vindas.
Os IDs do Facebook são números públicos exclusivos associados a contas específicas, que podem ser usados para discernir o nome de usuário de uma conta e outras informações do perfil.
/imgs.jusbr.com/publications/images/011c2bb1e25d82fbd27f970e4307515b)
Raspagem no Facebook
Como os criminosos obtiveram os IDs de usuário e números de telefone não está totalmente claro. Uma possibilidade é que os dados tenham sido roubados da API do desenvolvedor do Facebook antes da empresa restringir o acesso aos números de telefone em 2018. A API do Facebook é usada pelos desenvolvedores de aplicativos para adicionar contexto social aos aplicativos, acessando perfis de usuários, lista de amigos, grupos, fotos, e dados do evento. Os números de telefone estavam disponíveis para desenvolvedores de terceiros antes de 2018.
Diachenko diz que a API do Facebook também poderia ter uma brecha na segurança que permitiria aos criminosos acessar identificações de usuário e números de telefone mesmo depois que o acesso fosse restrito.
Outra possibilidade é que os dados foram roubados sem usar a API do Facebook e, em vez disso, raspados de páginas de perfil publicamente visíveis.
“Raspagem” é um termo usado para descrever um processo no qual os robôs automatizados vasculham rapidamente um grande número de páginas da web, copiando dados de cada uma delas para um banco de dados. É difícil para o Facebook e outros sites de mídia social impedir a raspagem porque eles geralmente não conseguem distinguir a diferença entre um usuário legítimo e um bot. A raspagem é contra os termos de serviço do Facebook e da maioria das outras redes sociais.
Muitas pessoas têm suas configurações de visibilidade de perfil do Facebook definidas como públicas, o que as torna trivial.
Não é a primeira vez que um banco de dados é exposto. Em setembro de 2019, 419 milhões de registros em vários bancos de dados foram expostos . Isso também incluía números de telefone e IDs do Facebook.
Perigos dos dados expostos
Um banco de dados desse tamanho provavelmente será usado para phishing e spam, principalmente via SMS. Os usuários do Facebook devem estar atentos a mensagens de texto suspeitas. Mesmo que o remetente saiba seu nome ou algumas informações básicas sobre você, seja cético quanto a mensagens não solicitadas.
Os usuários do Facebook podem minimizar as chances de seus perfis serem arrastados por estranhos, ajustando as configurações de privacidade de suas contas:
- Abra o Facebook e vá para ** Configurações **
- Clique em ** Privacidade **
- Defina todos os campos relevantes para ** Amigos ** ou ** Somente eu **
- Definir ** "Deseja que os mecanismos de pesquisa fora do Facebook sejam vinculados ao seu perfil ** para ** Não **
Isso reduzirá as chances de seu perfil ser raspado por terceiros, mas a única maneira de garantir que isso nunca aconteça novamente é desativar completamente ou excluir sua conta do Facebook.
Como e por que a Comparitech descobrem esses dados
A Comparitech trabalha com Bob Diachenko para descobrir bancos de dados não seguros e relatá-los ao público.
"Nosso objetivo é limitar o acesso e o abuso de dados pessoais por terceiros maliciosos e aumentar a conscientização entre os afetados sobre os riscos em potencial.
Ao descobrir dados expostos, Diachenko notifica imediatamente os responsáveis para que o banco de dados possa ser desligado ou protegido. Em seguida, analisamos o vazamento para identificar vítimas, a duração da exposição e quaisquer ameaças potenciais que as vítimas possam enfrentar", destaca.
Fonte: Comparitech
0 Comentários
Faça um comentário construtivo para esse documento.