Платформа снова трещит по швам — слиты имена, телефоны, координаты и биографии. А всё из-за API.
В социальных сетях Meta случился беспрецедентный инцидент с конфиденциальностью: неизвестные взломщики объявили о завладении персональной информацией 1,2 миллиарда пользователей Facebook. Колоссальный массив похищенных сведений появился на специализированном форуме, где распространяются скомпрометированные базы данных,сообщает securitylab.ru.
Киберпреступники подчеркнули уникальность полученной информации, отвергая предположения о компиляции прежних утечек. Для несанкционированного доступа злоумышленники эксплуатировали уязвимость в программном интерфейсе приложения (API) платформы, что позволило автоматизировать процесс сбора пользовательских данных в промышленных масштабах.
Руководство Meta отреагировало на происшествие подчеркнуто лаконично. Официальные лица направили в редакцию Cybernews сдержанный ответ, сопроводив его гиперссылкой на материал четырехлетней давности о противодействии скрапингу. Представитель корпорации заявил, что подобные инциденты фиксировались ранее, а необходимые защитные механизмы уже внедрены.
Эксперты Cybernews тщательно изучили предоставленный образец, включающий сто тысяч записей из Facebook. Проведенный анализ указывает на достоверность содержащихся в нем сведений. База включает персональные идентификаторы, настоящие имена владельцев аккаунтов, почтовые ящики, псевдонимы, контактные телефоны, географические координаты, биографические сведения и гендерную информацию.
Аналитики призывают критически оценивать декларируемые масштабы произошедшего. Характерная деталь: публикация о взломе Facebook является второй по счету в портфолио этой хакерской группировки. Первоначальное сообщение содержало значительно меньшую выборку информации, что наводит специалистов на мысль о поэтапном расширении взломщиками своего банка данных.
Верификация подлинности похищенного контента способна нанести сокрушительный репутационный ущерб социальной платформе. Исследователи безопасности отмечают тревожную тенденцию: вместо упреждающих мер защиты конфиденциальной информации компания предпочитает действовать постфактум, реагируя на уже свершившиеся атаки.
Столь внушительное собрание персональных сведений предоставляет преступникам богатый инструментарий для организации автоматических атак. Злоумышленники получают возможность развертывания масштабных ботнетов, нацеленных на каждую запись из украденной базы. Наибольшую угрозу представляют целевые фишинговые кампании, имитирующие легитимную коммуникацию от имени администрации Facebook.
Случаи злонамеренной эксплуатации программных интерфейсов участились в текущем году. Жертвами подобных нападений стали платформы Shopify, GoDaddy, Wix и системы OpenAI. Финансово мотивированные группировки применяют аналогичную тактику для компрометации криптовалютных активов пользователей.
Функционирование современных цифровых платформ немыслимо без использования API – специальных протоколов, обеспечивающих коммуникацию между программными модулями. Однако хакеры изобретают изощренные методики, позволяющие задействовать легальные интерфейсы для извлечения критически важной информации в объемах, многократно превышающих установленные разработчиками лимиты.
Примечательно, что руководство Meta само практикует масштабный сбор информации: корпорация официально подтвердила использование общедоступных материалов из Facebook и Instagram для тренировки собственного ИИ-ассистента.
В 2021 году социальная сеть пережила схожий кризис: в публичный доступ попали телефонные номера и координаты более полумиллиарда подписчиков. Последствия той утечки оказались весьма болезненными – главный европейский регулятор в сфере приватности, Ирландская комиссия по защите данных (DPC), выписала Meta штрафные санкции размером 265 миллионов евро.
* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.
Источник securitylab.ru