Фото: архив «Сноб»
Фото: архив «Сноб»

Ɔ. Как хакерам удалось взломать Фейсбук?

Еще две недели назад я нашел часть из утекших данных в свободном доступе в интернете и решил разобраться, что это за люди и какая именно информация стала доступна. 

В моем распоряжении оказались 250 тысяч полностью взломанных профилей — то есть злоумышленники просто подбирали пароли наобум, и так получали доступ к личным страницам. Все остальные, скорее всего, оказались пользователями одного несложного для взлома приложения, скажем, по доставке еды. Кстати, определить, какого именно, довольно просто: стоит только опросить 20-30 человек из списка, в каких программах они были авторизованы через Фейсбук, и выявить одно общее для всех. 

Но мне кажется, что это был мессенджер самого Фейсбука. И на это указывает сразу несколько факторов.

Во-первых, в приложении уже постоянно появляются уязвимости, и это происходит уже давно.

Во-вторых, оно фактически является сторонним приложением, в котором пользователям Фейсбука необходимо авторизовываться дополнительно.

В-третьих, злоумышленникам удалось получить доступ к личным сообщениям взломанных аккаунтов. Если бы это был какой-нибудь условный Тиндер, это было бы невозможно — соцсеть просто не даст на это прав. Да и получить разрешение на простую авторизацию с помощью Фейсбука у таких программ занимает несколько месяцев в связи с многоуровневой проверкой.

В итоге компания два дня назад анонсировала очередное изменение старого мессенджера и релиз нового. Хотя, конечно, это не обязательно может быть связано с хакерской атакой.

Ɔ. Для чего кому-то могут понадобиться данные сразу 30 миллионов человек по всему миру?

Все зависит от количества полученной информации.

Если известны логин и пароль пользователей, то из их аккаунтов можно построить неплохую сеть ботов. Писать от их лица сообщения, размещать посты — и все это на заданную тему ради чьей-то пропаганды. Например, для того чтобы продвинуть на иностранных выборах нужного кандидата или свергнуть нынешнего президента своей страны. Но для этого потребуется довольно мощная организация и денежные ресурсы: ведь, чтобы Фейсбук не заблокировал такую активность как подозрительную, писать придется с нескольких миллионов аккаунтов с разных IP-адресов разных стран.

Если же глубина доступа скромнее и хакеры знают только 30 миллионов e-mail-адресов, привязанных к конкретным людям, то и этого достаточно. В цепочке заложены и родственные связи, и города проживания, и указанные интересы. А эти данные можно продавать в качестве базы для таргетированной рекламы.

Кроме того, зачастую пароль от Фейсбук-аккаунта дублируется в банковских и иных приложениях. А в качестве логина пользователи указывают один и тот же электронный адрес. В таком случае ущерб становится более ощутимым, и масштабная хакерская атака может обернуться массовыми кражами со счетов.

Еще один способ использовать полученную информацию — найти компрометирующие данные внутри личных переписок и перейти на шантаж. Так было, например, с американским сайтом знакомств несколько лет назад: сначала хакеры думали, что просто получат базу данных, а наткнулись на пикантную переписку американских сенаторов с проститутками. 

Ɔ. Получается, что большинство людей знают правила безопасности в соцсетях, но продолжают их игнорировать. Есть ли выход из этой ситуации?

Подобные взломы происходят все чаще и чаще, а страшные последствия так и не наступают. Так что в целом можно не волноваться. Удалять свой аккаунт тоже не стоит, но не надо и пересылать свои обнаженные изображения и фотографии банковской карточки (причем с обеих сторон). Конечно, закон нарушают хакеры, но обезопасить себя может только сам пользователь.

Ɔ. Погодите, но это же примерно как советовать не надевать короткую юбку, чтобы тебя не изнасиловали.

Очень точная аналогия, но в нашей стране лучше предотвращать подобные преступления самостоятельно, а не ждать, когда государство начнет наказывать хакеров. Дело в том, что сейчас существует негласное указание не педалировать тему массовых угроз. Поэтому пока слабо верится в показательный процесс над киберпреступниками в России. А значит, они будут продолжать чувствовать себя безнаказанно. Поэтому конкретно в этом случае лучше не «надевать короткую юбку».Ɔ.

Беседовала Арина Крючкова