Як багато інформації ви розміщуєте на своїй сторінці у соціальних мережах?
Ім’я, місцеперебування, вік, робота, сімейний стан, фото?
Кількість інформації, якою люди згодні ділитися, різниться.
Але більшість людей погоджуються, що все, що ми розміщуємо на нашій відкритій сторінці, є загальнодоступним.
То як би ви почувались, якби всю вашу інформацію каталогізував хакер і помістив у величезну таблицю, щоб продати в інтернеті кіберзлочинцю, який найбільше заплатить?
Саме це минулого місяця “задля розваги” зробив хакер, який назвав себе Tom Liner – склав базу даних 700 мільйонів користувачів LinkedIn з усього світу, яку продає приблизно за 5000 доларів.
Інцидент та інші подібні випадки так званого “скрейпінгу” (від англ. scraping – “вишкрібання”) у соцмережах викликали запеклу дискусію про те, чи слід краще захищати основну інформацію, якою ми публічно ділимось у своїх профілях.
Публікація з’явилася на горезвісному хакерському форумі о 8:57 ранку за Лондоном.
Це на диво “нормальний” час для хакерів – але, звичайно, ми не маємо уявлення, в якому часовому поясі живе хакер, який називає себе Tom Liner.
“Привіт, у мене є 700 мільйонів записів LinkedIn за 2021 рік”, – написав він.
У дописі було посилання на зразок із мільйоном записів та запрошення до інших хакерів зв’язатися з ним приватно та зробити пропозиції щодо бази даних.
Щасливі клієнти
Зрозуміло, що продаж викликав справжній фурор у світі хакерства, і Том каже мені, що продає свій товар “численним” щасливим клієнтам приблизно за $5 000.
Він не розкриває, хто його клієнти і чому вони хочуть цю інформацію, але він каже, що ці дані, ймовірно, використовують для подальших зловмисних хакерських дій.
Ця новина також спричинила суперечки про те, чи варто нам хвилюватися через цю тенденцію викрадення даних.
Ці бази даних не створюють шляхом зламу серверів або вебсайтів соцмереж.
Вони в основному робляться за допомогою “вишкрібання” публічних сторінок на платформах за допомогою автоматичних програм для отримання будь-якої вільно доступної інформації про користувачів.
Теоретично більшість даних, що збираються, можна знайти, просто переглянувши окремі сторінки в соцмережах. Хоча, звичайно, для збору такої кількості даних, скільки здатні зібрати хакери, знадобилося б кілька життів.
Цього року вже було ще три великих інциденти, пов’язаних зі “скрейпінгом”:
- У квітні хакер продав ще одну базу даних із близько 500 мільйонів записів, взятих з LinkedIn.
- Того ж тижня інший хакер безкоштовно розмістив на форумі базу даних зібраної інформації з 1,3 мільйона профілів Clubhouse.
- Також у квітні дані 533 мільйонів користувачів Facebook виклали на хакерський форум із проханням про пожертви.
Хакер, відповідальний за цю базу даних Facebook, – Тom Liner.
Я спілкувався з Томом більше трьох тижнів у Telegram. Деякі повідомлення та навіть пропущені дзвінки були здійснені посеред ночі, а інші – у робочий час, тому не було жодного натяку на його місцеперебування.
Єдині підказки про його звичне життя прозвучали, коли він сказав, що не може говорити по телефону, оскільки його дружина спить, і що у нього денна робота, а хакерство – його “хобі”.
“Дуже складна робота”
Том сказав мені, що створив 700-мільйонну базу даних LinkedIn, використовуючи “майже ту саму техніку”, яку він використовував для створення бази Facebook.
“На це у мене пішло кілька місяців. Це було дуже складно. Мені довелося зламати API LinkedIn. Якщо ви зробите занадто багато запитів на дані користувача за один раз, система назавжди забанить вас”, – каже він.
API розшифровується як “інтерфейс програмування програм”, і більшість соціальних мереж продають партнерські програми API, що дозволяє іншим компаніям отримувати доступ до даних платформи, наприклад, для маркетингу або створення додатків.
Privacy Shark, яка вперше виявила продаж бази даних, вивчила безкоштовний зразок та виявила, що він містить повні імена, адреси електронної пошти, стать, номери телефонів та інформацію про сферу діяльності.
“Не злам”
У LinkedIn кажуть, що їхні дані свідчать, що Тom Liner не використовував їхній API, але підтвердили, що база даних “включає інформацію, взяту з LinkedIn, а також інформацію, отриману з інших джерел”.
“Це не було зламом даних LinkedIn і не було викрито жодних приватних даних членів LinkedIn. Скрейпінг даних з LinkedIn є порушенням наших Умов використання, і ми постійно працюємо над тим, щоб захистити конфіденційність наших членів”, – йдеться у заяві компанії.
У відповідь на квітневий витік даних Facebook також назвав інцидент старим скрейпінгом.
Однак той факт, що хакери заробляють на цих базах даних, хвилює деяких кібер-експертів.
“Викрадені хитромудрі деталі”
Генеральний директор і засновник організації SOS Intelligence Амір Хадзіпашич день і ніч переглядає форуми хакерів у даркнеті. Щойно з’явилась новина про 700-мільйонну базу даних LinkedIn, він та його команда розпочали аналіз даних.
“Такі масштабні витоки викликають занепокоєнні, враховуючи хитромудрі деталі цієї інформації у деяких випадках, такі як географічне розташування або приватні мобільні номери та електронні адреси.
“Для більшості людей буде несподіванкою те, що ці API-сервіси зберігають стільки інформації”, – каже він.
Тom Liner каже, що знає, що його база даних може бути використана для зловмисних атак.
Він каже, що це його турбує, але не каже, чому він продовжує займатися скрейпінгом.
Амір каже, що хакери, які купують дані LinkedIn, можуть використовувати їх для запуску цілеспрямованих хакерських кампаній проти службовців високого рівня, наприклад, керівників компаній.
Він також зазначив, що цінність має велика кількість активних електронних адрес у базі даних, які можна використовувати для розсилки масових електронних фішинг-кампаній.
“Дані є загальнодоступними”
Але експерт з питань кібербезпеки Трой Гант, який проводить більшу частину свого робочого часу, вивчаючи вміст зламаних баз даних для свого вебсайту haveibeenpwned.com, менш занепокоєний останніми випадками скрейпінгу і каже, що їх потрібно прийняти як частину нашого загальнодоступного профілю.
“Це точно не злами. Більшість цих даних і так є загальнодоступними”, – вважає він.
“Питання, яке слід задати в кожному конкретному випадку, полягає в тому, скільки цієї інформації за вибором користувача є загальнодоступною та скільки, за його очікуваннями, не має бути загальнодоступною”, – каже експерт.
Трой погоджується з Аміром у тому, що контроль над API-програмами соцмереж потрібно вдосконалити, і каже, що ми не можемо відмахуватися від таких інцидентів.
“Не те, що я не погоджуюся з позицією Facebook та інших, але я відчуваю, що відповідь “це не проблема”, хоча, можливо, є технічно вірною, не враховує те, наскільки цінні ці дані користувачів, і вони, можливо, применшують власну роль у створенні цих баз даних”, – додає він.
Дії Тома, швидше за все, змусять соцмережі подати на нього до суду за крадіжку інтелектуальної власності або порушення авторських прав.
За матеріалами сайту BBC News