黑客攻击。伪造。监视。网络是主板'播客和在互联网的黑暗底层上报告。
在线工具允许客户支付给揭示喜欢特定页面的Facebook用户的电话号码,并且底层数据集似乎与本周制作头条新闻的5000万个帐户数据库分开,从而表示Facebook的另一个数据泄露或大规模刮擦用户'数据,主板已找到。
主板验证了该工具,该工具以社交网络和消息传递平台电报的机器人的形式,输出准确的Facebook用户的电话号码,它在500万用户的数据集中包含。这些数据也似乎与另一个电报机器人输出的另一个电报机器人在1月份首次报告的电影板上输出。
"你好,你能告诉我你的号码怎么样?"在达到评论时,数据集中包含的一个人请主板询问主板。 " omg,这是疯了,"他们补充道。另一个人返回主板'在确认他们的名字后,说"如果你有我的号码,那么是的,它似乎是准确的。"
你在Facebook工作,或者知道另一个数据漏洞吗?我们' d喜欢收到你的来信。使用非工作手机或计算机,可以安全地联系Joseph Cox +44 20 8133 5190,Wickr在Josephcox上,在Josephcox上,OTR聊天在[email protected]上,或电子邮件[email protected]。
BOT读取的描述"机器人给出了喜欢Facebook页面的用户的电话号码。"
要使用机器人,客户需要首先识别他们想要从中获取电话号码的唯一识别码,是一个乐队,餐厅或任何其他类型的页面。这是可能的至少一个免费使用网站。从那里,根据主板&#39的测试,客户将该代码输入BOT,该代码提供了美国美元中的数据的成本,并选择进行购买的选项。来自Facebook用户数以万计的人的页面可以花费几百美元,机器人节目。例如,主板的数据' S自己的页面将返回134,803个结果,价格为539美元。
如果页面在100以下,则机器人提供数据。主板提供了具有几页具有低用户数的页面,并获得了相应的数据。该机器人提供了一个简单的电子表格文件,其中包含Facebook用户' s全名,电话号码和性别。 BOT不一定为所有喜欢该页面的用户提供数据;对于左右50个喜欢的页面,机器人提供了10个用户的电子表格。
主板在电子表格中取得了名字,发现了这个人和#39; s对应的Facebook个人资料,并验证了他们真实的页面(在撰写本文时,虽然Facebook页面显示了多少用户喜欢它们,但它是不可能直接的看看用户是谁,除非他们已经是你的Facebook好友)。没有一个Facebook配置文件主板在撰写本文时公开展示他们的电话号码。但机器人提供的电话号码看起来准确。在一个情况下,主板在手机中添加了数字作为联系人,并且在WhatsApp看到的轮廓图像与用户上的个人形象'脸书账号。数据似乎是历史:当主板使用我们自己的Facebook帐户之一时使用链接的电话号码来喜欢多页,我们的电话号码没有出现在Bot'结果中。根据主板和#39;测试,机器人没有在所有页面上返回数据。
然后主板从电报机器人拿走电话号码,并进入了我被PWNED,由安全研究员特洛伊亨特经营的违规通知服务,他们已经将500万个Facebook用户上传到服务数据库。没有任何数字主板在该数据集中出现在该数据集中,根据我已被PWNED测试。
主板还分享了从BOT获得的数据与Alon Gal,联合创始人和CTO的网络安全智能公司Hudson Rock的哈德逊摇滚,他们首先发布了最近的500亿个数据集。他说,没有从机器人获得的数字都出现在500M数据集中。
GAL表示他还使用Facebook' S忘记了密码机制,以证明数字与真正的Facebook帐户相关联。在某些情况下,将电话号码输入到忘记的密码字段后,Facebook返回了用户名称的冗余版本。这相当于来自BOT主板获得的电子表格:" t ... s ..."与使用这些字母开始的电子表格中的名称,主板在复制该测试时找到。
当主板报告在单独的电报机器人上,让客户输入用户ID并接收Facebook用户'我们的电话号码,我们发现了故意尝试私下的用户的电话号码。该数字也没有出现在新电报机器人中。 GAL表示,他还使用另一个先前的数据漏洞检查了新的BOT'数据突破,只有一个数字的重叠的所有这些数据突破。
"什么威胁演员想要与之有关,是提取特定的利基页面,并将它们销售为"" GAL说,当主板向他展示了新机器人时。 "例如,提取'比特币英国'小组并将其转换为读取的电话号码列表,以便为公司提供销售,相当有利可图的业务。"
Facebook没有立即回复评论请求。 Facebook表示,由攻击者利用Facebook' Scoptor Import功能的攻击者建造了5亿个数据集。 Facebook对该数据转储的责任偏离了博客文章"虽然我们解决了2019年的问题,但是每个人都始终有利,以确保他们的设置与他们想要公开共享的内容对齐。&# 34;