5.33億Facebook用戶電話號(hào)碼遭公開泄漏
責(zé)編:gltian |2021-04-07 10:48:38
近日,有不法分子在一個(gè)流行黑客論壇上免費(fèi)發(fā)布了一個(gè)Facebook用戶數(shù)據(jù)“全家桶”,包含全球約5.33億Facebook用戶的手機(jī)號(hào)碼和其他個(gè)人信息,甚至Facebook創(chuàng)始人馬克扎克伯格的電話號(hào)碼也未能幸免。
2020年6月,一個(gè)規(guī)模驚人的Facebook用戶泄漏數(shù)據(jù)庫(kù)首次在黑客社區(qū)中浮出水面,某黑客論壇成員開始將Facebook數(shù)據(jù)出售給其他成員。
2020年6月首次銷售的Facebook數(shù)據(jù) 來(lái)源:BleepingComputer
從已經(jīng)泄漏的Facebook數(shù)據(jù)樣本中,可以看到幾乎每個(gè)用戶記錄都包含了如下關(guān)鍵信息:用戶手機(jī)號(hào)碼、Facebook ID、用戶名稱以及該會(huì)員的性別。
以下是一小段泄漏的美國(guó)Facebook用戶數(shù)據(jù)樣本,包含手機(jī)號(hào)碼(從紐約的手機(jī)區(qū)號(hào)917開始)
帶有手機(jī)號(hào)碼的美國(guó)Facebook泄漏會(huì)員樣本 資料來(lái)源:BleepingComputer
根據(jù)網(wǎng)絡(luò)犯罪情報(bào)公司Hudson Rock的首席技術(shù)官Alon Gal的說(shuō)法,攻擊者在2019年利用了Facebook的“添加朋友”功能中的一個(gè)現(xiàn)已修復(fù)的漏洞,該漏洞使黑客能夠訪問Facebook會(huì)員的電話號(hào)碼。
目前尚不清楚此漏洞是否允許黑客檢索泄漏數(shù)據(jù)中的所有信息或僅能檢索電話號(hào)碼,然后再將其與從公共配置文件中抓取的信息匹配結(jié)合在一起。
在最初出售該數(shù)據(jù)(據(jù)報(bào)道其售價(jià)為3萬(wàn)美元)之后,另一個(gè)黑客創(chuàng)建了一個(gè)私人Telegram機(jī)器人,該機(jī)器人允許其他黑客付費(fèi)搜索Facebook數(shù)據(jù)。
泄漏數(shù)據(jù)被免費(fèi)發(fā)布
如今,該Facebook數(shù)據(jù)泄漏已在同一黑客論壇上免費(fèi)發(fā)布,論壇會(huì)員可用8個(gè)站點(diǎn)“信用分”下載完整數(shù)據(jù)庫(kù),信用分是該黑客論壇上的一種貨幣形式,每個(gè)積分約合2.19美元。
通常,在黑客論壇中被泄漏的數(shù)據(jù)最初是以高價(jià)出售,隨后售價(jià)逐漸走低,直至最終免費(fèi)發(fā)布,以贏得黑客社區(qū)的聲譽(yù),F(xiàn)acebook的泄漏數(shù)據(jù)也不例外。
從已經(jīng)公開的數(shù)據(jù)泄漏中甚至可以查詢到Facebook的三位創(chuàng)始人——馬克·扎克伯格、克里斯·休斯和達(dá)斯汀·莫斯科維茨的電話號(hào)碼,這三位創(chuàng)始人在Facebook的用戶編號(hào)分別為4、5、6(下圖)。
一位Facebook發(fā)言人聲稱:“(已泄漏數(shù)據(jù))是2019年報(bào)告的舊數(shù)據(jù)。我們?cè)?019年8月發(fā)現(xiàn)并修復(fù)了此問題。”
盡管如此,考慮到絕大多數(shù)用戶的電話號(hào)碼和電子郵件地址許多年內(nèi)都保持不變,公開免費(fèi)泄漏的龐大Facebook用戶數(shù)據(jù)庫(kù)對(duì)于不法分子來(lái)說(shuō)依然很有價(jià)值。
下面列出泄漏用戶數(shù)據(jù)最多的20個(gè)國(guó)家和地區(qū)(地理位置依據(jù)Facebook用戶在其個(gè)人資料中輸入的位置)。
值得注意的是,雖然Facebook在中國(guó)無(wú)法訪問,但是此次泄漏數(shù)據(jù)中依然有67萬(wàn)個(gè)用戶的位置標(biāo)記為中國(guó)(在泄漏用戶數(shù)量國(guó)家/地區(qū)榜排名65位,比丹麥、挪威、日本、希臘和伊朗都要多)。
泄漏數(shù)據(jù)可用于實(shí)施多種攻擊
黑客論壇上的不法分子對(duì)最新的免費(fèi)泄漏版本興趣高昂,因?yàn)樗麄兛梢詫?duì)數(shù)據(jù)泄漏中列出的人員實(shí)施多種攻擊。
例如,不法分子可以使用電子郵件地址進(jìn)行網(wǎng)絡(luò)釣魚攻擊,并使用手機(jī)號(hào)碼進(jìn)行網(wǎng)絡(luò)釣魚(手機(jī)短信網(wǎng)絡(luò)釣魚)攻擊。
不法分子還可以使用手機(jī)號(hào)碼和泄露的信息來(lái)執(zhí)行SIM卡交換攻擊,以竊取通過SMS發(fā)送的多因素身份驗(yàn)證代碼,SIM卡攻擊被認(rèn)為是對(duì)個(gè)人隱私和財(cái)產(chǎn)威脅最大的針對(duì)性攻擊之一。
考慮到潛在的大規(guī)模釣魚郵件和SIM卡交換攻擊的威脅,建議所有Facebook用戶對(duì)來(lái)路不明或者異常的電子郵件以及內(nèi)含鏈接的短信提高警惕。
- 周鴻祎領(lǐng)銜!百所高校+企業(yè)組團(tuán)亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評(píng)估基準(zhǔn),覆蓋6大類別37種方法
- 引領(lǐng)智能運(yùn)維!全新FortiAIOps 3.0重新定義IT運(yùn)營(yíng)
- MirageFlow:一種針對(duì)Tor的新型帶寬膨脹攻擊
- 英偉達(dá)約談事件的制度邏輯與趨勢(shì)展望
- 國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布《國(guó)家信息化發(fā)展報(bào)告(2024年)》
- 火狐中國(guó)終止運(yùn)營(yíng):辦公地?zé)o人,用戶賬號(hào)數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡(luò)安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評(píng)估標(biāo)準(zhǔn)化應(yīng)用實(shí)踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時(shí)代!