За последнюю неделю вы, вероятно, видели сообщения о новых взломах данных на Facebook и LinkedIn, которые раскрыли личную информацию миллионов пользователей.
Для уточнения каждого случая:
- В субботу Business Insider опубликовал отчет, в котором указывалось, что личная информация более чем 530 миллионов пользователей Facebook стала общедоступной в незащищенной базе данных
- В среду Cyber News сообщили, что личные данные, полученные от 500 миллионов пользователей LinkedIn, были доступны для продажи на различных хакерских форумах
И Facebook, и LinkedIn признали соответствующие случаи, но оба также преуменьшают значимость каждого из них, отмечая, что он был либо общедоступным, либо информацией, полученной в результате ранее зарегистрированных утечек данных.
Так что там на самом деле?
В случае с Facebook это немного сбивает с толку - во вторник компания опубликовала разъяснение, в котором, по сути, отклонила дело как старую новость, заявив, что:
"Мы считаем, что данные, о которых идет речь, были извлечены из профилей пользователей Facebook злоумышленниками с помощью нашего средства импорта контактов до сентября 2019 года. Эта функция была разработана, чтобы помочь людям легко находить своих друзей, с которыми можно связаться в наших службах, используя свои контакты. списков. Когда нам стало известно, как злоумышленники используют эту функцию в 2019 году, мы внесли изменения в средство импорта контактов."
Итак, здесь не на что смотреть, все в порядке, о нарушении уже сообщалось. Верно?
Ну, не совсем так. Согласно тщательному расследованию, проведенному Wired, это конкретное нарушение данных не было полностью раскрыто в прошлом, хотя оно использует старые данные.
Процесс, используемый скребками, как отмечает Facebook, был основан на функции «Найти моих друзей», которая использовала контакты вашего телефона, чтобы соединить вас с людьми, которых вы знаете в приложении, при создании новой учетной записи. Хакеры обнаружили, что они могут загрузить практически любой существующий номер телефона в свою адресную книгу, а система Facebook просто предположит, что это друзья, а затем предоставит им доступ к их личной информации. Затем они использовали это для очистки данных, которые теперь доступны.
Согласно Wired, Facebook не несет прямой ответственности за все масштабы этого нарушения и фактически не может отследить его в полном объеме, потому что для эксплуатации уязвимости использовались не данные в их системе..
«Facebook утверждает, что не раскрывал номера телефонов. «Важно понимать, что злоумышленники получили эти данные не путем взлома наших систем, а путем их извлечения с нашей платформы до сентября 2019 года», - [Facebook] во вторник. Компания стремится провести различие между использованием уязвимости законной функции для массового парсинга и поиском уязвимости в своих системах для получения данных из серверной части."
Итак, имеющиеся данные вполне могут выходить за рамки того, что Facebook сообщал ранее, но он не знает, потому что не может сказать, сколько раз эта уязвимость использовалась до того, как она была исправлена. Хакеры также могли смешать этот набор данных с другими общедоступными записями, чтобы расширить раскрытые данные - вы можете проверить, были ли раскрыты ваши личные данные на этом сайте.
Итак, в этом конкретном наборе данных есть новая проблема, но Facebook также исправил ошибку в своих системах.
В случае с LinkedIn LinkedIn говорит, что доступный набор данных включает «общедоступную» информацию, которая была получена с платформы.
LinkedIn опубликовал это заявление:
Мы исследовали предполагаемый набор данных LinkedIn, который был размещен для продажи, и определили, что на самом деле это совокупность данных с ряда веб-сайтов и компаний. Он включает общедоступные данные профилей участников, которые появляются были удалены из LinkedIn. Это не было утечкой данных LinkedIn, и данные личных учетных записей участников из LinkedIn не были включены в то, что мы смогли проверить».
Согласно Cyber News, полный просочившийся архив содержит полные имена, адреса электронной почты, номера телефонов и многое другое в соответствии с информацией, полученной из профилей более чем 500 миллионов участников LinkedIn. Что, учитывая, что платформа насчитывает всего 740 миллионов пользователей, составляет огромную часть ее пользовательской базы. Хакеры опубликовали подмножество из 2 миллионов сущностей, чтобы доказать законность взлома, и продают остальные.
Учитывая, что LinkedIn делает контактную информацию доступной только для ваших контактов первого уровня на платформе (или участников, которым вы отправили запрос на подключение), неясно, каким именно образом хакеры могли получить доступ ко всем этих данных, или насколько точными и актуальными они могут быть, но снова LinkedIn заявила, что, похоже, хакеры объединили очищенную информацию профиля LinkedIn «с данными ряда веб-сайтов или компаний».
Как и в случае с Facebook, LinkedIn преуменьшает свою прямую вину на данном этапе, и не совсем ясно, как именно был сформулирован набор данных. Вы можете проверить, была ли раскрыта ваша информация LinkedIn, здесь.
Однако кажется, что это новые наборы данных и серьезные утечки данных, даже если информация не является свежей. Таким образом, лучший совет - обновить свои пароли и включить двухфакторную аутентификацию, где это возможно. Вы мало что можете сделать с утечкой вашей прошлой информации, но вы можете обновить свою собственную систему безопасности, чтобы предотвратить подобную утечку в будущем.
Эти два случая также еще больше разожгут опасения по поводу неправомерного использования пользовательских данных, хранящихся на платформах социальных сетей. В последнее время это было основным предметом разногласий в связи с грядущим обновлением Apple IDFA, которое позволит пользователям отказаться от отслеживания данных в каждом приложении iOS. Подобные нарушения только укрепят аргументы в пользу их ограничения, что может иметь последствия для Facebook и LinkedIn, в частности.
Дела также могут вызвать более сильный толчок к регулированию и могут привести к увеличению штрафов, вынесенных компаниям. Мы все еще ждем, чтобы получить полную информацию об утечках, но в целом они не помогают создать уверенность в том, что социальным платформам можно доверять такую информацию.