Ponad 540 mln rekordów z bazy Facebooka znalezionych w Amazon Cloud
Badacze bezpieczeństwa z zespołu UpGuard Cyber Risk poinformowali o znalezieniu dwóch zestawów danych z ponad 540 mln rekordów z bazy Facebooka na serwerach chmury Amazon Cloud.
Pierwszy zestaw danych należy do meksykańskiej firmy medialnej o nazwie Cultura Colectiva i zawiera dokładny zapis wszystkich możliwych aktywności użytkowników. Są to m.in.: komentarze, reakcje, polubienia, listy znajomych, zainteresowania, grupy, wydarzenia, zdjęcia, ulubione filmy i muzyka, a także nazwy kont wraz z identyfikatorami.
Drugi z kolej jest, zdaniem badaczy, najprawdopodobniej kopią zapasową ze strony zewnętrznej; zintegrowanej z Facebookiem aplikacji o nazwie At the Pool. Ten z kolei zawiera te same dane o aktywności, rozszerzone dodatkowo o hasła logowania. Tyle dobrego, że – jak deklarują eksperci – chodzi o hasła do aplikacji, nie samego Facebooka. Choć oczywiście z problemem pozostają wszyscy ci, którzy nie nauczyli się jeszcze każdorazowo stosować hasła unikatowego.
– Firma At the Pool przestała aktywnie działać w 2014 r. Nawet ich strona internetowa zwraca obecnie informację o błędzie 404 – tłumaczą naukowcy. I dodają: – Ale to niewielka pociecha dla tych użytkowników końcowych, których nazwy kont, hasła, adresy e-mail, identyfikatory Facebooka i inne wrażliwe dane były jawnie widoczne przez nieznany okres.
22 tys. haseł do Facebooka
Co kluczowe, rekordy użytkowników zostały znalezione przez naukowców na serwerach Amazon S3. Czyli w obrębie internetowego nośnika danych, który na dodatek został skonfigurowany tak, aby umożliwić pobieranie plików każdemu. Ustalono, że wśród danych znalazło się także 22 tys. haseł używanych bezpośrednio do logowania na Facebooku. Niestety nie wiadomo, kto miał dostęp do tych danych i jak długo były one udostępniane publicznie.
Zaleca się, aby każdy, kto miał do czynienia z aplikacją At the Pool zmienił hasło do Facebooka. A pamiętajmy przy tym jeszcze, że nie jest to jedynie istotne naruszenie bezpieczeństwa na Facebooku w ostatnich dniach. Pod koniec marca wyszło na jaw, że serwis przechowywał miliony haseł w zwyczajnym pliku tekstowym, bez próby jakiegokolwiek ich zabezpieczenia.
