Internete pasirodė žinia apie vieną didžiausių iki šiol užfiksuotų Facebook naudotojų duomenų nutekėjimų. Įsilaužėliai teigia surinkę ir paskelbę 1,2 milijardo naudotojų įrašų rinkinį, pasinaudodami socialinio tinklo API spraga.
Duomenų bazė, kuri, kaip teigiama, buvo suformuota naudojantis „Meta“ priklausančios Facebook platformos programavimo sąsaja (API), pasirodė viename populiariausių kibernetinių nutekėjimų forumų. Įsilaužėlių teigimu, tai nėra anksčiau viešintų duomenų kompilacija, o visiškai naujai surinktas duomenų rinkinys.
Ką apima nutekinti duomenys?
Remiantis „Cybernews“ tyrėjų atlikta analizė, įsilaužėliai forumo įraše pateikė 100 000 unikalių Facebook naudotojų įrašų pavyzdį. Tyrimas rodo, kad pateikti duomenys atrodo autentiški ir apima:
- Naudotojo ID
- Vardus ir pavardes
- El. pašto adresus
- Naudotojo vardus (username)
- Telefono numerius
- Gyvenamąsias vietas
- Gimimo datas
- Lytį
Tyrėjų atsargumas dėl masto patvirtinimo
Nors įsilaužėliai tvirtina turintys 1,2 milijardo įrašų, saugumo specialistai ragina skeptiškai vertinti šį skaičių. Tai – tik antrasis įrašas, kurį paskelbė šie įsilaužėliai, todėl nėra aišku, ar tokio masto duomenų rinkimas iš tikrųjų įvyko.
„Gali būti, jog pirmiausia jie paskelbė mažesnį kiekį duomenų, o vėliau, pasinaudodami ta pačia API spraga, surinko likusius įrašus“, – pažymėjo „Cybernews“ komanda.
Grėsmės vartotojams: sukčiavimas, tapatybės vagystės ir kibernetinės atakos
Toks didelis duomenų kiekis tampa itin patrauklus kibernetiniams nusikaltėliams. Įrašų autentifikavimas rodo, kad el. pašto adresai priklauso realiems Facebook naudotojams, todėl tai sudaro sąlygas lengvai organizuoti:
- Tikslines phishing atakas
- Automatizuotas sukčiavimo kampanijas
- Tapatybės vagystes
- Ilgalaikius privatumo pažeidimus
Meta saugumo praktikos po padidinamuoju stiklu
Šis incidentas nėra pirmasis, kai Facebook duomenys nuteka dėl pažeidžiamų API ar viešai pasiekiamos informacijos. 2021 m. nutekėjus 533 milijonų naudotojų duomenims, Europos Sąjungos duomenų apsaugos priežiūros institucija – Airijos duomenų apsaugos komisija (DPC) – skyrė „Meta“ 265 mln. eurų baudą už pažeidimus.
Ekspertai teigia, kad „Meta“ saugumo priemonės dažniau yra reakcijos į pažeidimus, o ne prevencinės strategijos. „Kartojasi tas pats modelis – duomenų saugumas vertinamas per silpnąją grandį, viešai matomą, bet jautrią informaciją. Kol trūksta skaidrumo ir efektyvių saugumo užkardų, milijonai naudotojų lieka pažeidžiami“, – komentavo kibernetinio saugumo analitikai.
API: nauda ir pavojus viename
Programavimo sąsajos (API) yra būtinos šiuolaikinėms skaitmeninėms paslaugoms, tačiau jų saugumas dažnai tampa silpniausia sistemos vieta. Šiemet jau fiksuotos atakos, nukreiptos į „Shopify“, „GoDaddy“, „Wix“ bei „OpenAI“ API, o finansinės paskatos dažnai skatina panašias technikas naudoti kriptovaliutų ar vartotojų paskyrų vagystėms.
Ką reiškia ši naujiena naudotojams?
Kol „Meta“ nekomentuoja šio incidento ir nepatvirtina atakos masto, vartotojams rekomenduojama:
- Patikrinti, ar jų el. paštas ar telefono numeris nėra nutekėję (pvz., „Have I Been Pwned“ įrankiu).
- Atsargiai vertinti įtartinus el. laiškus, žinutes ar užklausas socialiniuose tinkluose.
- Įjungti dviejų žingsnių autentifikavimą.
- Atnaujinti paskyrų slaptažodžius.
Šaltinis: Cybernews.com
