5.33億Facebook用戶電話號碼遭公開泄漏
責編:gltian |2021-04-07 10:48:38
近日,有不法分子在一個流行黑客論壇上免費發布了一個Facebook用戶數據“全家桶”,包含全球約5.33億Facebook用戶的手機號碼和其他個人信息,甚至Facebook創始人馬克扎克伯格的電話號碼也未能幸免。
2020年6月,一個規模驚人的Facebook用戶泄漏數據庫首次在黑客社區中浮出水面,某黑客論壇成員開始將Facebook數據出售給其他成員。
2020年6月首次銷售的Facebook數據 來源:BleepingComputer
從已經泄漏的Facebook數據樣本中,可以看到幾乎每個用戶記錄都包含了如下關鍵信息:用戶手機號碼、Facebook ID、用戶名稱以及該會員的性別。
以下是一小段泄漏的美國Facebook用戶數據樣本,包含手機號碼(從紐約的手機區號917開始)
帶有手機號碼的美國Facebook泄漏會員樣本 資料來源:BleepingComputer
根據網絡犯罪情報公司Hudson Rock的首席技術官Alon Gal的說法,攻擊者在2019年利用了Facebook的“添加朋友”功能中的一個現已修復的漏洞,該漏洞使黑客能夠訪問Facebook會員的電話號碼。
目前尚不清楚此漏洞是否允許黑客檢索泄漏數據中的所有信息或僅能檢索電話號碼,然后再將其與從公共配置文件中抓取的信息匹配結合在一起。
在最初出售該數據(據報道其售價為3萬美元)之后,另一個黑客創建了一個私人Telegram機器人,該機器人允許其他黑客付費搜索Facebook數據。
泄漏數據被免費發布
如今,該Facebook數據泄漏已在同一黑客論壇上免費發布,論壇會員可用8個站點“信用分”下載完整數據庫,信用分是該黑客論壇上的一種貨幣形式,每個積分約合2.19美元。
通常,在黑客論壇中被泄漏的數據最初是以高價出售,隨后售價逐漸走低,直至最終免費發布,以贏得黑客社區的聲譽,Facebook的泄漏數據也不例外。
從已經公開的數據泄漏中甚至可以查詢到Facebook的三位創始人——馬克·扎克伯格、克里斯·休斯和達斯汀·莫斯科維茨的電話號碼,這三位創始人在Facebook的用戶編號分別為4、5、6(下圖)。
一位Facebook發言人聲稱:“(已泄漏數據)是2019年報告的舊數據。我們在2019年8月發現并修復了此問題。”
盡管如此,考慮到絕大多數用戶的電話號碼和電子郵件地址許多年內都保持不變,公開免費泄漏的龐大Facebook用戶數據庫對于不法分子來說依然很有價值。
下面列出泄漏用戶數據最多的20個國家和地區(地理位置依據Facebook用戶在其個人資料中輸入的位置)。
值得注意的是,雖然Facebook在中國無法訪問,但是此次泄漏數據中依然有67萬個用戶的位置標記為中國(在泄漏用戶數量國家/地區榜排名65位,比丹麥、挪威、日本、希臘和伊朗都要多)。
泄漏數據可用于實施多種攻擊
黑客論壇上的不法分子對最新的免費泄漏版本興趣高昂,因為他們可以對數據泄漏中列出的人員實施多種攻擊。
例如,不法分子可以使用電子郵件地址進行網絡釣魚攻擊,并使用手機號碼進行網絡釣魚(手機短信網絡釣魚)攻擊。
不法分子還可以使用手機號碼和泄露的信息來執行SIM卡交換攻擊,以竊取通過SMS發送的多因素身份驗證代碼,SIM卡攻擊被認為是對個人隱私和財產威脅最大的針對性攻擊之一。
考慮到潛在的大規模釣魚郵件和SIM卡交換攻擊的威脅,建議所有Facebook用戶對來路不明或者異常的電子郵件以及內含鏈接的短信提高警惕。