近日,有不法分子在一个流行黑客论坛上免费发布了一个Facebook用户数据“全家桶”,包含全球约5.33亿Facebook用户的手机号码和其他个人信息,甚至Facebook创始人马克扎克伯格的电话号码也未能幸免。
2020年6月,一个规模惊人的Facebook用户泄漏数据库首次在黑客社区中浮出水面,某黑客论坛成员开始将Facebook数据出售给其他成员。
2020年6月首次销售的Facebook数据 来源:BleepingComputer
从已经泄漏的Facebook数据样本中,可以看到几乎每个用户记录都包含了如下关键信息:用户手机号码、Facebook ID、用户名称以及该会员的性别。
以下是一小段泄漏的美国Facebook用户数据样本,包含手机号码(从纽约的手机区号917开始)
带有手机号码的美国Facebook泄漏会员样本 资料来源:BleepingComputer
根据网络犯罪情报公司Hudson Rock的首席技术官Alon Gal的说法,攻击者在2019年利用了Facebook的“添加朋友”功能中的一个现已修复的漏洞,该漏洞使黑客能够访问Facebook会员的电话号码。
目前尚不清楚此漏洞是否允许黑客检索泄漏数据中的所有信息或仅能检索电话号码,然后再将其与从公共配置文件中抓取的信息匹配结合在一起。
在最初出售该数据(据报道其售价为3万美元)之后,另一个黑客创建了一个私人Telegram机器人,该机器人允许其他黑客付费搜索Facebook数据。
泄漏数据被免费发布
如今,该Facebook数据泄漏已在同一黑客论坛上免费发布,论坛会员可用8个站点“信用分”下载完整数据库,信用分是该黑客论坛上的一种货币形式,每个积分约合2.19美元。
通常,在黑客论坛中被泄漏的数据最初是以高价出售,随后售价逐渐走低,直至最终免费发布,以赢得黑客社区的声誉,Facebook的泄漏数据也不例外。
从已经公开的数据泄漏中甚至可以查询到Facebook的三位创始人——马克·扎克伯格、克里斯·休斯和达斯汀·莫斯科维茨的电话号码,这三位创始人在Facebook的用户编号分别为4、5、6(下图)。
一位Facebook发言人声称:“(已泄漏数据)是2019年报告的旧数据。我们在2019年8月发现并修复了此问题。”
尽管如此,考虑到绝大多数用户的电话号码和电子邮件地址许多年内都保持不变,公开免费泄漏的庞大Facebook用户数据库对于不法分子来说依然很有价值。
下面列出泄漏用户数据最多的20个国家和地区(地理位置依据Facebook用户在其个人资料中输入的位置)。
值得注意的是,虽然Facebook在中国无法访问,但是此次泄漏数据中依然有67万个用户的位置标记为中国(在泄漏用户数量国家/地区榜排名65位,比丹麦、挪威、日本、希腊和伊朗都要多)。
泄漏数据可用于实施多种攻击
黑客论坛上的不法分子对最新的免费泄漏版本兴趣高昂,因为他们可以对数据泄漏中列出的人员实施多种攻击。
例如,不法分子可以使用电子邮件地址进行网络钓鱼攻击,并使用手机号码进行网络钓鱼(手机短信网络钓鱼)攻击。
不法分子还可以使用手机号码和泄露的信息来执行SIM卡交换攻击,以窃取通过SMS发送的多因素身份验证代码,SIM卡攻击被认为是对个人隐私和财产威胁最大的针对性攻击之一。
考虑到潜在的大规模钓鱼邮件和SIM卡交换攻击的威胁,建议所有Facebook用户对来路不明或者异常的电子邮件以及内含链接的短信提高警惕。