Facebook признал очередную крупную утечку данных. О том, что она произошла, компания сообщила еще 27 сентября, но детали стали известны только сейчас. Соцсеть раскрыла, что 14 сентября на нее была совершена хакерская атака, в результате которой были похищены данные около 30 млн пользователей. Обнаружить уязвимость специалистам Facebook удалось только  25 сентября. Оказалось, что утечка связана с функцией «Просмотреть как», которая позволяет владельцам аккаунтов выяснить, как видят его страницу другие пользователи. Из-за этого инцидента Комиссия по защите данных Ирландии (Data Protection Commission, DPC) может оштрафовать Facebook на 4% глобальной выручки, или около $1,63 млрд.

Детали

• Устранить уязвимость удалось еще через два дня, после чего функция «Просмотреть как» была заблокирована. В компании также уточнили число пострадавших — 30 млн пользователей, а не 50 млн, как говорилось изначально.
• По данным Facebook, у 15 млн пользователей были похищены только данные, включающие имя, почтовый ящик и телефонный номер. У остальных 14 млн — еще и дополнительную информацию: например, пол, религиозную принадлежность, местонахождение, данные об устройствах, понравившиеся страницы и места, в которых они были отмечены. Facebook считает, что в открытый доступ злоумышленники эту информацию не выкладывали.
• Согласно заявлению компании, атака не затронула приложения Messenger, Messenger Kids, Instagram, WhatsApp, Oculus, Workplace, а также страницы, которые использовались для рекламы.
• Facebook не раскрывает, кто именно стоял за кибератакой. В заявлении компании сказано, что это делается по просьбе ФБР, которое участвует в расследовании.

Что теперь с этими данными?

•  На днях Independent сообщила, что данные выставлены в даркнет на продажу. Их там 50 млн, что немного расходится с заявлением Facebook.

• За информацию о каждом пользователе предлагают заплатить от $3 до $12. Стоимость различается в зависимости от страны проживания пользователя, а также объема и полноты сведений. Найти преступников, продающих эти данные, — почти невозможно. Дело в том, что помимо того, что магазин устроен в даркнете, оплата принимается исключительно в криптовалюте: в биткоине или Bitcoin-cash.
• Для удобства покупателей на этой площадке присутствует система рейтингов, аналогичная той, что используется в Amazon или eBay. У самих продавцов на ней довольно высокая репутация. Учитывая масштаб утечки Facebook, стоимость всей новой базы данных может составлять от $150 млн до 600 млн.

• Эксперты по безопасности, опрошенные Independent, предупреждают, что данные в даркнете могут использоваться для кражи новых персональных данных или шантажа пользователей Facebook с компрометирующей информацией.

Что мне с этого?

Издание Wired опубликовало подробную инструкцию, с помощью которой можно узнать, были ли похищены ваши данные.

• Чтобы проверить свой профиль, зайдите на специальную страницу справочного центра Facebook и пролистайте вниз, до голубого поля. В нем или под ним будет отображена вся необходимая информация, но только на английском языке.

Например, так будет выглядеть страница, если ваш аккаунт не пострадал:

А так, если вас взломали:

• Здесь соцсеть уведомляет, что хакеры узнали имя профиля, адрес электронной почты и номер телефона, но не получили доступ к паролям и информации о банковских картах.

Егор Сонин