Facebook: Πωλούνται αριθμοί τηλεφώνου χρηστών του μέσω Telegram bot

Η Motherboard αποκάλυψε ότι κάποιος απέκτησε πρόσβαση σε ένα database που περιέχει αριθμούς τηλεφώνου χρηστών του Facebook και τώρα πωλεί αυτά τα δεδομένα μέσω ενός Telegram bot. Ο Alon Gal – ερευνητής ασφαλείας που ανακάλυψε αυτό το περιστατικό – αναφέρει ότι το άτομο που τρέχει το bot ισχυρίζεται πως έχει στα χέρια του τις πληροφορίες 533 εκατομμυρίων χρηστών. Το άτομο είπε επίσης ότι εκμεταλλεύτηκε μια ευπάθεια του Facebook, που επιδιορθώθηκε το 2019.

Σε πολλά databases, απαιτείται κάποια τεχνική ικανότητα για την εύρεση χρήσιμων δεδομένων. Επιπλέον, συνήθως πρέπει να υπάρχει αλληλεπίδραση μεταξύ του ατόμου που έχει το database και του ατόμου που προσπαθεί να κλέψει πληροφορίες από αυτό, καθώς ο «κάτοχος» του database δεν πρόκειται να δώσει απλώς σε κάποιον άλλο όλα αυτά τα πολύτιμα δεδομένα. Η δημιουργία ενός Telegram bot, ωστόσο, επιλύει και τα δύο αυτά ζητήματα.

Το bot επιτρέπει σε κάποιον να κάνει δύο πράγματα:

• εάν έχει το αναγνωριστικό χρήστη του Facebook, μπορεί να βρει τον αριθμό τηλεφώνου αυτού του ατόμου
• εάν έχει τον αριθμό τηλεφώνου ενός ατόμου μπορεί να βρει το αναγνωριστικό χρήστη του Facebook

Η πρόσβαση

στις πληροφορίες κοστίζει. Με άλλα λόγια, το «ξεκλείδωμα» μιας πληροφορίας, όπως ένας αριθμός τηλεφώνου ή ένα αναγνωριστικό Facebook, έχει κάποιο κόστος, καθώς το άτομο που βρίσκεται πίσω από το bot τα πωλεί για 20$.

Αξίζει να σημειωθεί ότι το bot λειτουργεί τουλάχιστον από τις 12 Ιανουαρίου 2021, σύμφωνα με screenshots που δημοσίευσε ο Gal. Ωστόσο, τα δεδομένα στα οποία παρέχει πρόσβαση, είναι από το 2019. Πρόκειται επομένως για σχετικά παλιά δεδομένα, αλλά οι άνθρωποι δεν αλλάζουν συχνά αριθμούς τηλεφώνου. Όπως είναι γνωστό, το Facebook συλλέγει αριθμούς τηλεφώνου από άτομα, συμπεριλαμβανομένων χρηστών που ενεργοποιούν τον έλεγχο ταυτότητας δύο παραγόντων (2FA).

Προς το παρόν, δεν είναι γνωστό εάν οι ερευνητές της Motherboard ή άλλοι ερευνητές ασφαλείας έχουν επικοινωνήσει με το Telegram, για να προσπαθήσουν να θέσουν εκτός λειτουργίας το bot. Ωστόσο, οι ερευνητές ελπίζουν να διακοπεί το συντομότερο δυνατό η εύκολη πρόσβαση και η προσφορά των κλεμμένων δεδομένων στο διαδίκτυο.