11:13
21/4/2020

O wystawieniu bazy na sprzedaż doniosła firma Cyble, która kupiła kopię i podjęła się jej weryfikacji. Dane z bazy uzupełniły zasoby usługi AmIbreached zatem każdy zainteresowany może sprawdzić czy jego dane wyciekły — o ile przekaże tej firmie swoje dane, w tym płatnicze. Więc zalecamy rozwagę, bo chęć weryfikacji nie tak strasznego wycieku może doprowadzić w przyszłości do wycieku poważniejszego.

Co istotne, baza nie zawiera haseł. Zawiera natomiast informacje o nazwisku, adresie e-mail, telefonie, wieku oraz – co dość ważne – o identyfikatorze Facebooka. Identyfikator jest o tyle ważny, że pozwala odnaleźć konto danej osoby również w przypadku zmiany nazwiska czy linku do profilu.

Fragment bazy wystawionej na sprzedaż (źródło obrazka: Cyble)

Skąd pochodzi baza?

Pochodzenie danych we wspomnianej bazie nie jest do końca wyjaśnione, niemniej o tej bazie już trochę mówiono. W marcu tego roku firma Comparitech wspólnie z badaczem Bobem Diachenko donosiła o odkryciu dwóch baz z danymi dotyczącymi kont na Facebooka. W jednej z nich było dokładnie 267.140.436 rekordów, a w drugiej o dodatkowe 42 mln rekordów więcej (z czego 25 mln rekordów zawierało podobny zestaw informacji, a 16,8 mln rekordów zawierało dodatkowe informacje o profilu oraz o osobie).

Pierwsza z baz została zindeksowana przez wyszukiwarki już 4 grudnia 2019 roku.  12 grudnia informacje na ten temat pojawiły się na pewnym forum, a kolejne 2 dni później Diachenko wykrył tę bazę i podjął próbę jej usunięcia poprzez powiadomienie o bazie dostawcy usług zarządzającego serwerem. Na początku marca druga baza (ta powiększona o 42 mln rekordów) została zindeksowana przez wyszukiwarki, wykryta przez Diachenkę, a niedługo później serwer z tą bazą został zaatakowany przez nieznanych sprawców.

Diachenko uważa, że baza mogła powstać poprzez wykorzystanie API Facebooka zanim w roku 2018 ograniczono dostęp do numerów telefonów. Druga możliwość jest taka, że dane zostały uzyskane za pomocą bota scrapującego publicznie dostępne profile. Diachenko nie wyklucza też, że API Facebooka mogło mieć jakąś lukę umożliwiającą pobranie danych nawet po ograniczeniu dostępu do nich.

Na marginesie – jeśli nazwisko Bob Diachenko brzmi znajomo to dlatego, że właśnie ten badacz informował jako pierwszy o wycieku z MoneyMan.pl.

Co robić? Jak żyć?

Wycieki baz dotyczących milionów kont z Facebooka nie są czymś niespotykanym. Zdarzały się również duże wycieki zawierające numery telefonów.

Zestawy informacji takie jak w tej bazie mogą zostać wykorzystane do ataków phishingowych, także kanałem SMS. Przestępcy dysponujący informacjami o Twoim telefonie i zarazem o profilu mogą uwiarygodnić różne próby wyłudzenia danych.

Omawiana w tym tekście baza danych zawiera informacje głównie o użytkownikach z USA. Została dodana do AmIbreached.com, więc tam możesz sprawdzić czy Twoje dane wyciekły (ale uwaga! Czytelnicy zauważyli, że strona prosi o wiele danych, zanim da dostęp do swoich — zalecamy rozwagę i zastanowienie, czy chcecie z niej skorzystać w celu sprawdzenia nie-tak-groźnego wycieku, podając już całkiem poważniejsze dane).

Jednak nawet jeśli mieszkasz w Polsce i wyników dla Twojego maila nie ma w AmIbreached.com to nie oznacza, że jesteś bezpieczny. Jak często powtarzamy na szkoleniach, bezpieczniej jest założyć, że Twoje dane i tak wyciekły. Zawsze warto: włączyć logowanie dwuskładnikowe do kont w social mediach, ograniczyć ujawnianie informacji o sobie i z nieufnością podchodzić do wiadomości zachęcających nas do działań w różnych serwisach (zwłaszcza do logowania). Ale to nie wszystko. To co należy zrobić po wycieku zależy od wielu kwestii i ciężko to opisać w kilku akapitach. Dlatego przygotowaliśmy z tego tematu 1 godzinny webinar, z którym zapoznało się już prawie tysiąc osób, a którego nagranie i Ty możesz zobaczyć.


Zobacz zapis godzinnego webinara, który poświęcony jest w całości tematyce wycieku danych Polaków. Dowiedz się jak się uchronić przed wyciekami oraz jak sprawdzać, czy coś na Twój temat już wyciekło. Z materiału dowiesz się też co robić krok-po-kroku jeśli Twoje dane wyciekły (zarówno z Twojej winy jak i winy jakiejś firmy, której byłeś klientem). Materiał adresuje także kwestię tego, kiedy mamy szansę na odszkodowanie oraz pokazuje przydatne darmowe narzędzia i usługi. Kliknij tutaj, aby wykupić dostęp do nagrania!

Jeśli już mowa o ujawnianiu informacji na swój temat to ciekawe ostrzeżenie w tej sprawie wydało ostatnio FBI. Wielu ludzi wzięło ostatnio udział w “wyzwaniach”, których elementem było wygrzebywanie i pokazywanie swoich starych zdjęć. W ten sposób ludzie ujawniali nazwy swoich szkół, pierwszych zwierząt lub samochodów, co z kolei mogło się przydać przestępcom do resetowania kont w serwisach, w których stosuje się pytania pomocnicze. Niektórzy zwracali uwagę na to, że wyzwania z fotkami mogą służyć trenowaniu AI, ale – jak widać – realne problemy mogą być bardziej przyziemne.


Aktualizacja 21.04.2020, 18:33
Czytelnicy zwracają uwagę, że strona do “sprawdzenia” czy jest się w wycieku zbiera dane. Dodaliśmy więc odpowiednie ostrzeżenie do artykułu i odpięliśmy linki, aby nikt zbyt pochopnie nie skorzystał z tej usługi. Zastanówcie się czy warto. Niestety, inne serwisy (takie jak zawsze rekomendowany przez nas HIBP) tej bazy nie posiadają, więc przytoczona wyżej strona jest póki co jednym miejscem, gdzie można się pod tym kątem sprawdzić.

Przeczytaj także:



8 komentarzy

Dodaj komentarz
  1. Czy wiadomo którędy wyciekły dane lub co było powodem?

  2. […] wyciek z MoneyMan.pl i namierzył również bazę dotyczącą 267 mln kont z Facebooku, o której dziś pisaliśmy. Chcąc nie chcąc znów musimy wspomnieć o […]

  3. Fajny ten serwis AmIbreached.com.
    Maila pokazuje w 11 bazach, każe się zarejestrować, żeby zobaczyć, a po rejestracji bez zakupu wszystko zamazane.

    A i te 11 baz to 7 razy OVH Kimsufi.com
    2 razy Cloud VIP
    baza “30”
    i baza “1”

  4. Co za g… firma ta cyble. Trzeba się zalogować, potem opłacić subskrypcję (fakt mają darmowy kod, ale trzeba podać nr karty)

    nie bezpiecznik dlaczego o tym nie piszecie

  5. Fajne te AmIbreached.com, takie nie za przydatne.
    Nie dość, że trzeba się zalogować, podać numer karty i pilnować, żeby nie wpakować się w płatną subskrypcję — to jeszcze nie można sprawdzić adresu ze znakiem “+”.

  6. “267.140.436 mln rekordów” = 267.140.436.000.000
    serio?

  7. Moje nie wyciekły, bo nie mam tam konta i jakoś nie czuję potrzeby.

    • Fantastycznie, że się tym faktem z nami podzieliłeś!

Odpowiadasz na komentarz moi

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: