Нов теч на информация за 257 000 потребители на Фейсбук, като на 81 000 от тях има достъп дори до личните съобщения. Хакерите, които стоят за това, твърдят, че имат данни за 120 милиона души. Те са използвали зловредно разширение на браузърите, за да го постигнат. Руската служба на Би Би Си прави собствено разследване и стига до извода, че следите на хакерите водят към Русия.

Съобщение за продажбата на лични данни на потребители на социалната мрежа Фейсбук е публикувано за първи път още в началото на септември в Blackhatworld. Авторът на предложението е с прякор FBSaler и твърди, че разполага с голяма база данни, която включва 120 милиона профила като има възможност за подбор по държави. Той продава тези сведения за 10 цента на акаунт.

Като доказателство към офертата е приложен линк към сайта Fbserver, където са пубилкувани данни на над 250 000 потребители. В началото на октомври Fbserver спира да работи, но на два пъти се мести като последно може да бъде открит като Socialser21, който е действащ до 29 октомври т. г.

По молба на руската секция на Би Би Си британската компания Digital Shadows прави анализ на публикуваните данни. Еспертите стигат до извода, че публикуваната извадка включва основно данни на потребители от Украйна, техни са 47 000 от осветените акаунти. Руски са 12 000 от профилите. Основно данните съдържат биографични подробности, списък с приятелите на потребителите, в някои случаи има дата на раждане и номер на телефон.

В 81 000 от акаунтите анализаторите установяват, че има и записи на техните лични съобщения във Фейсбук.

Този теч не е свързан с Cambridge Analytica  и скорошния пробив във Фейсбук.

Сайтовете, които предлагат за продажба акаунтитe, се позиционират като "Facebook camanalytica archive" - т. е. архив на данните от скандалното изтичане, свързано с компанията Cambridge Analytica. Но това едва ли съответства на действителността, защото Cambridge Analytica е имала достъп до личните съобщения едва на 1500 потребители. Освен това британската компания е събрала данни от почти 90 милиона акаунта, актуални към 2015 г., докато сегашните лични съобщения са от края на май 2018 г.

Публикуваната база данни не е свързана със скорошния мащабен срив на данни на потребители на "Фейсбук", тъй като атаката към социалната мрежа стана след появата на сайта Fbserver.

Вероятно хакерите са успели да източат данните на потребителите като са ползвали зловредни разширения на браузърите, които получават достъп до данните, които се споделят във Фейсбук. До този извод стигат потребители на социалните мрежи, които са провели собствено разследване. Вицепрезидентът на социалната мрежа по управлението на продуктите Гай Роузън обяснява, че компанията се е свързала с разработчици на браузъри, за да се убеди, че разширенията вече са недостъпни. Освен това от Фейсбук са се обърнали към съответните институции, за да поискат да се отключи сайтът с персоналните данни. За коя от трите реинкарнации на  Fbserver обаче вицепрезидентът на компанията не уточнява.  

Руската следа

Анализ показва, че може да се смята, че има руска следа. Или които е оставил това, което е намерено, е искал да се смята, че има руска следа. Например създателят на сайта Fbserver при регистрацията дава поща на  Mail.ru. До началото на октомври порталът има петербургски IP адрес, който по-рано е използван за разпространение на вируса LokiBot, който краде пароли.

По данни на американската компания ThreatConnect с Fbserver са свързани още 20 ресурса, част от които използват или са използвали руски IP адреси. За близостта на тези сайтове свидетелства и фактът, че имат общ DNS сървър, поща на администратора на сайта и т. н.

Един от IP адресите на "огледалото" Socialser21 принадлежи на руския хостинг провайдър King Servers. През 2016 г. ThreatConnect забелязва, че шест от осемте адреса, през които става атаката на сървъра на Демократическата партия на САЩ преди президентските избори в САЩ през 2016 г., също е с провайдър King Servers. Директорът на King Servers Владимир Фоменко след вдигналия се сега шум обяви, че е наредил да се махне Socialser21 от сървъра. Информация за това кой стои зад портала Фоменко каза, че е готов да даде само по искане на правоохранителните органи или на съда.

От Би Би Си пишат и писмо на дадения от Fbserver email адрес за връзка с хакерите. В отговор получават писмо на английски, подписано с Джон Смит. "Смит" обяснява, че той и групата му разполагат с данни на 120 милиона потребители на социалната мрежа, като 2,7 милиона са от Русия. Готови са да ги продадат за 12 милиона долара. На въпрос дали хакерите са свързани с Русия "Джон Смит" отговаря отрицателно.