Джинн из бутылки: почему Facebook постоянно теряет данные пользователей
Каждый год в интернете происходит громкий скандал, связанный с обширной утечкой данных в Facebook. Ни громадные штрафы, ни ужесточение правил, кажется, не помогают: объемы утечек только растут — и в 2021 году в открытом доступе оказались данные более полумиллиарда пользователей соцсети.
3 апреля стало известно о 533 миллионах незащищенных пользовательских записей Facebook, которые хранились на публичном сервере. Всего были опубликованы данные пользователей из 106 стран: более 32 миллионов записей из США, 11 миллионов из Великобритании, 6 миллионов из Индии и т. д. Записи содержали номера телефонов, ID пользователей Facebook, полные имена, локации, даты рождения и в некоторых случаях адреса электронной почты.
— Alon Gal (Under the Breach) (@UnderTheBreach) January 14, 2021
Ранее в январе 2021 года информацию из собранной базы начали продавать в интернете через телеграм-бот. За небольшую плату любой мог узнать контакты интересующего человека из 19 стран: нужно было заплатить всего $20 за номер. При этом существовали и скидки: 10 тысяч номеров стоили всего $5 тысяч. Бот предлагал либо найти номер по ID пользователя, либо определить ID по номеру телефона.
Среди опубликованных файлов оказались данные гендиректора Facebook Марка Цукерберга. Пользователи могли свободно найти его полное имя, местоположение, идентификатор пользователя, семейный статус и дату рождения. Также в свободный доступ попали данные сооснователей соцсети Криса Хьюза и Дастина Московица. Проверить свои данные на предмет утечки можно на сайте haveibeenpwned.com. Появившиеся в свободном доступе данные Цукерберга компания оставила без комментариев.
Та самая база
Facebook заявила, что знала об утечке еще в 2019 году. По словам технического директора компании Hudson Rock Элона Гэла, уязвимость позволяла видеть номер, привязанный к учетной записи пользователя. Благодаря этому удалось создать такую обширную базу до того, как уязвимость успели закрыть в августе того же года.
Сопоставив данные, в Hudson Rock поняли, что данные связаны именно с той утечкой: они датировались 2019 годом. После передачи информации в Facebook компания подтвердила, что ID и номера подлинные, но актуальны до августа 2019 года, когда уязвимость была устранена. Таким образом, те пользователи, кто привязывал номер телефона к аккаунту позднее августа, не попали в опубликованную базу.
Для Facebook это не первый скандал, связанный с утечкой пользовательских данных. Предыдущий громкий инцидент произошел в 2018 году. Английская компания Cambridge Analytica собирала данные более 87 миллионов пользователей соцсети для для таргетирования политической рекламы. Компанию обвинили во вмешательстве на выборах в разных странах и использовании данных избирателей. Судя по всему, Facebook знала о возможных нарушениях ее политики приватности компанией Cambridge Analytica с сентября 2015 года. Компания под давлением СМИ закрылась в 2018 году.
Facebook дорого заплатила за скандал с Cambridge Analytica: в 2019 году Федеральная комиссия по торговле США наложила штраф на компанию в размере $ 5 миллиардов. Этот штраф стал крупнейшим из когда-либо наложенных на одну компанию за нарушение защиты информации пользователей. Также он почти в 20 раз больше, чем самый большой штраф, наложенный за подобные нарушения. После инцидента Facebook запустила программу Bug Bounty для пользователей, которые теперь могли оповещать руководство соцсети о найденных ошибках и уязвимостях.
Риски для пользователей
База данных, которая вновь оказалась в открытом доступе, была обнаружена в 2019 году сотрудниками по кибербезопасности UpGuard. Виновными оказались две сторонние компании, которые собрали и оставили информацию в открытом доступе на облачных серверах Amazon. Один набор данных принадлежал мексиканской компании Cultura Colectiva. 146 Гб записей включали в том числе комментарии, лайки, реакции, имена аккаунтов и Facebook ID пользователей.
Специалисты UpGuard также нашли резервную копию данных приложения At The Pool, которое уже не функционирует. Копия содержала информацию о 22 тысяч пользователей: пароли в виде текста, адреса электронной почты, списки друзей, интересы, фотографии, данные о входе в систему и др.
Резервная копия At the Pool содержала колонки fk_user_id, fb_user, fb_friends, fb_likes, fb_music, fb_movies, fb_books, fb_photos, fb_events, fb_groups, fb+checkins, fb_interests, пароли и многое другое. Пароли предположительно предназначались для приложения, а не для аккаунтов пользователей Facebook. Однако остается риск для тех юзеров, которые использовали один и тот же пароль для обоих аккаунтов.
Приложение At the Pool прекратило функционировать в 2014 году, и сайт компании-разработчика выдает ошибку 404. Неизвестно, как долго данные пользователей приложения находились в открытом доступе, в том числе их имена, пароли, адреса электронной почты, Facebook ID.
Каждый из наборов данных хранился в отдельном контейнере облачного сервиса Amazon Simple Storage Service (Amazon S3), настроенном на общедоступную загрузку файлов. Данные At The Pool исчезли из открытого доступа еще до обращения UpGuard в компании. Facebook связалась с Amazon с требованием удаления данных, сейчас они также изъяты.
Почему происходят утечки
Обе базы данных объединяет то, что они были доступны сторонним разработчикам и содержат личные данные пользователей Facebook. После громадных штрафов и громких скандалов компания стала внимательнее следить за способами защиты данных пользователей и сокращать доступ к ним третьих лиц. Однако, как показывают события, джинн не может быть помещен обратно в бутылку: личные данные пользователей Facebook могут оказаться далеко за пределами того, что может контролировать компания.
Несовершенная конфигурация публичного доступа в социальных сетях приводит к таким длинным «хвостам» утечек, которые могут повторяться многократно. Проблема массового сбора данных заключается в их неуничтожимости: информация не исчезает, а базы данных могут оказаться недостаточно защищенными или попросту забытыми.
Для разработчиков приложений Facebook остается привлекательной платформой из-за доступа к данным, генерируемым самими пользователями. Для Cultura Colectiva эта информация позволяла прогнозировать популярный контент среди потребителей. Эти данные не могли бы быть получены без Facebook, однако сформированная база уже не находится под контролем соцсети.
В каждом случае Facebook облегчал сбор данных о пользователях и передачу их третьим лицам, которые несли ответственность за их защиту. Таким образом, ответственными за личные данные пользователей стали тысячи разработчиков приложений. В этой неоднородной среде крайне сложно, или практически невозможно, выстроить единую систему защиты, что неизбежно ведет к утечкам катастрофических объемов данных.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.