Приватные сообщения из 81 000 аккаунтов Facebook выставлены на продажу

    Расширения для браузеров — основной канал утечки конфиденциальной информации




    Из крупнейшей в мире социальной сети произошла очередная утечка данных. На этот раз утекла не только базовая информация о пользователях, но и самое «секретное» на Facebook — личные сообщения как минимум 81 000 пользователей, преимущественно из России и Украины. Архив выставлен на продажу, а доказательства опубликовала Русская служба BBC.

    По мнению специалистов, приватная информация получена с помощью вредоносных расширений браузера. Но злоумышленники утверждают, что у них есть личные сообщения 120 млн человек, в том числе 2,7 млн россиян. Это небольшая доля от 2 млрд активных пользователей Facebook.

    Facebook прокомментировал, что взлома внутренних сетей не зафиксировано и безопасность систем не скомпрометирована. Если информацию копировали через посторонние расширения, то взлома как такового действительно не было. Но факт остаётся фактом: реальные приватные сообщения в архиве выставлены в открытый доступ.

    Хакеры предлагают доступ к личным сообщениям по 8 pублей за один аккаунт. Впрочем, в данный момент их реклама удалена.

    Впервые архив появился на одном из англоязычных форумов в сентябре, объявление опубликовал пользователь под ником FBSaler. «Мы продаем личную информацию пользователей Facebook. В нашей базе 120 миллионов аккаунтов», — написал он, хотя есть причины скептически относиться к этой цифре.

    В качестве образца были представлены более 81 000 профилей. Компания по кибербезопасности Digital Shadows изучила товар и подтвердила аутентичность сообщений. Русская служба BBC связалась с пятью российскими пользователями Facebook, чьи личные сообщения выставлены на продажу. Те подтвердили, что сообщения действительно принадлежат им.



    Личные сообщения в социальной сети редко содержат какую-то информацию, ценную для посторонних. Обычно это невинная болтовня между родственниками или друзьями. Например, в данном случае злоумышленники для привлечения внимания опубликовали несколько разговоров. Один из них включал фотографии из недавнего отпуска, другой — разговор о недавнем концерте Depeche Mode, а третий — жалобы на зятя. Была также интимная переписка между любовниками.

    Тем не менее следует понимать, что «личные» сообщения на Facebook или в любом мессенджере ни в коей мере не являются приватными в отсутствие сквозного шифрования. И даже в этом случае текст расшифрованного сообщения на экране может быть прочитан вредоносным программным обеспечением, если оно ранее установлено на компьютере. Здесь таким выступило расширение для браузера, но другие программы могут снимать скриншоты и регистрировать все нажатые клавиши из любых программ на компьютере или смартфоне, так что даже надёжное шифрование здесь не поможет.

    Специалисты сообщили, что в образце есть ещё 176 000 аккаунтов, но часть этой информации, включая адреса электронной почты и номера телефонов, можно было получить в открытом виде от пользователей, которые не скрыли отображение этих данных в своём профиле.

    Расширения — слабое место браузеров


    «Мы связались с создателями браузеров, чтобы убедиться, что известные вредоносные расширения больше недоступны для загрузки в их каталогах расширений», — сказал исполнительный директор Facebook Гай Розен.

    Очевидно, что расширения для браузеров превращаются в один из основных каналов утечки конфиденциальной информации из социальных сетей.

    Зловреды часто распространяются вместе с невинными приложениями для мобильных устройств или расширениями для браузеров. Это могут быть помощники по покупкам, приложения для закладок, миниигры-головоломки. Такие расширения предлагаются для различных браузеров, в том числе Chrome, Opera и Firefox.

    По информации Facebook, в этом случае одно из таких расширений спокойно отслеживало активность жертв на платформе Facebook — и отправляло хакерам личные данные и приватные разговоры. Facebook не назвал, из-за какого конкретно расширения произошла утечка. Очевидно, что в этом нет вины Facebook, а вот самим пользователям следует быть осторожнее с установкой сторонних расширений.

    Частично вина за взлом лежит на компании Google, которая допустила вредоносное расширение в каталог расширения самого популярного браузера Chrome. Эта не новая проблема: каталог периодически чистят от таких расширений. Например, в прошлом году оттуда удалили несколько расширений, выдающих себя за блокировщик рекламы AdBlock Plus, у одного из которых было более 40 тыс. скачиваний. Вредоносные приложения также успешно преодолевают защиту каталога Google Play.



    Иногда пользователи месяцами рапортуют о мошенничестве, но Google реагирует с запозданием.

    Как решить проблему вредоносных расширений?


    Понятно, что пользователь при желании может установить в свой браузер любое расширение, даже не из официального каталога, а из постороннего источника. Но есть мнение, что разработчики браузеров должны более внимательно отнестись к проблеме вредоносных расширений. Например, они могут ввести следующие обязательные требования для установки расширения в браузер:

    1. Каждое расширение должно явно объявлять те URL, с которыми собирается взаимодействовать.
    2. Каждое расширение должно предоставить схему любых данных, которые намеревается отправить из браузера.
    3. Браузер локально регистрирует все эти коммуникации.
    4. Браузер блокирует всё, что не соответствует строгим значениям указанной политики.

    Можно ввести и дополнительные меры, чтобы ограничить передачу информации из браузера.




    СПЕЦИАЛЬНЫЕ УСЛОВИЯ на PKI-решения для малого и среднего бизнеса до 30.11.2019 г. по промо-коду AL003HRFR. Предложение действует для новых клиентов. Подробности уточняйте у менеджеров +7 (499) 678 2210, sales-ru@globalsign.com.
    GlobalSign
    160,34
    Компания
    Поделиться публикацией

    Комментарии 17

      +1
      Отличное решение проблемы, потом расширение говорит «мне нужно всё» и пользователь «окей, фонарик» и возвращаемся к предыдущему этапу. Хотя, конечно, на некоторый процент ьезопасность повысится.
      Ещё вариант — в заголовке страницы новый парметр «запретить расширения здесь»(как появившиеся когда-то noindex/nofollow в ссылках для поисковиков) для банкинга или чатов, но где будут использовать? Правильно, на ютубе, чтобы не скачивали ролики и… вообще везде, чтобы не блокировали высплывающие окна, вылезающих дерьмоконсультантов и горы банеров.
      Ещё вариант — последний пункт, но браузер спрашивает «страница запрашивает отключение расширений для fakebook.com/im*», произвести отключение? И где-то в настройках список, чтобы можно было управлять — отключить, включить, спрашивать для всех добавленных туда страниц.
        0
        Толку будет немного. Расширения ставят, запчастую, преследуя свои цели, типа «скачать видео/посмотреть список посетителей». Причём и явно подозрительные расширения. Я, порой, поражаюсь тому, с каким упорством люди делают это, даже если им пытается противостоять сам браузер, антивирус или ещё что-то. Такое упорство достойно лучшего применения.
          0
          Видимо, надо как в iOS -там в чувствительных местах, например, отключается сторонняя клавиатура и доступна только нативная.

          А поскольку сами браузеры скоро будут сложными, как ОСи, в них тоже придется ставить свой внутрибраузерный антивирус, по ходу
        +1

        Не менее серьёзная проблема связана с практикой перепродажи популярных расширений их разработчиками. С одной стороны, разработчик имеет право продать свой софт. С другой, это не должно приводить к автоматической установке в браузеры пользователей кода, написанного купившей расширение компанией — доверие пользователей к оригинальному разработчику не должно автоматически распространяться на нового разработчика. Из недавнего — ситуация со Stylish.

          –1
          > Каждое расширение должно явно объявлять те URL, с которыми собирается взаимодействовать.

          Это уже давно делается. Другой вопрос, что пользователи особо эту информацию не читают, и даже если читают, не способны угадать, как будет работать расширение. Может ему доступ к фейсбуку нужен, чтобы расшарить рекорд в игре или скачать видео, а может, чтобы слить вашу переписку. Как вы это проверите?

          Гугл тоже хорош: не предупреждает пользователей про то, что расширения в Chrome store могут содержать вредоносный функционал. По-хорошему. там надо на каждой странице большими буквами писать предупреждение, что расширения могут быть вредоносными, и надо ставить расширения, только если лично доверяешь их автору (как и в случае с обычными десктопными приложениями, имеющими полный доступ к компьютеру). Но Гугл, как типичный американский бизнес, об этом конечно не говорит. Эти украденные данные — прямое следствие политики Гугла.

          Увы, у Фаерфокса тоже есть аналогичные проблемы — разработчики предпочитают выносить функционал из браузера в расширения (вроде запрета JS на отдельных сайтах), мне это не нравится, так как их пишет непонятно кто и непонятно, можно ли им доверять. И не пишут про опасность расширений большими буквами. Мозилле я доверяю, а непонятным анонимам из интернета — нет.

          То есть бизнес не хочет говорить людям правду, а хочет создавать ложное ощущение безопасности и комфорта.

          Ну и есть небольшая надежда, что антивирусные компании обратят внимание на проблему и хотя бы те пользователи, которые пользуются антивирусами, будут защищены.

          Я, кстати, стараюсь ставить только написанные лично расширения.

          P.S. Подумал и вспомнил, что та же проблема у расширений для редакторов кода: вокруг можно увидеть советы, какие расширения поставить, но никто не пишет большими буквами про опасность. Неужели я один, кто это видит?
            +1
            никто не пишет большими буквами про опасность

            Это бесполезно, если пользователю нужно расширение, то предупреждение будет проигнорировано практически всегда.
              +1
              Не согласен. Сейчас пользователь видит только информацию про плюсы расширений и ставит их. Если будет предупреждение — он будет избегать ими пользоваться, кроме крайних случаев. Пользователей расширений будет меньше, ущерб от взлома — тоже меньше.

              Это может вы смело игнорируете предупреждения, а технически не подкованные пользователи предпочтут не рисковать — починка компьютера не бесплатная.
              0
              Это уже давно делается. Другой вопрос, что пользователи особо эту информацию не читают, и даже если читают, не способны угадать, как будет работать расширение. Может ему доступ к фейсбуку нужен, чтобы расшарить рекорд в игре или скачать видео, а может, чтобы слить вашу переписку. Как вы это проверите?

              мне кажется имелось ввиду другое. То что расширение запрашивает разрешение на полный доступ и модификацию произвольных страниц, это есть.
              Но речь как мне кажется, что расширение должно заранее обговаривать к каким ресурсам оно будет само обращаться, чтобы слить/ получить инфу на свой сервер.
              Т.е. расширение говорит, я буду делать GET|POST по урлу rogaikopita.du/auth с целью антентефикаии пользователя
              а GET|POST запрос rogaikopita.du/collect для сбора статистики, и пользователь об этом знает, то расширение на сторону никуда ничего не сольет. Если оно говорит «Никакие данные не отсылаю», то значит можно положиться на браузер и верить что он это проконтролирует. в данный момент такой механизм отсутствует.
                0
                Ваш вариант легко обходится. Если расширение имеет доступ к страницам произвольных сайтов, оно может туда вставить код для отправки запросов от имени сайта.
                  0
                  Он бы легко обходился, если бы то что я описал было бы вписано в текущую парадигму. Но можно ведь запретить инжектить javascript и затребовать на это ротдельные разрешения, если ты пишешь расширения, то знаешь, что content скрипты выполняются в своем неймспейсе, который имеет доступ в DOM, но браузер знает что это контент скрипт а не сприпт сайта. Можно так же заинжектить скрипт непосредственно в страницу, прям не отличить от скрипта сайта будет. Но это же все можно контролировать при желании.

                  Вобщем было бы желание.
                    0
                    Вставляем в DOM другого сайта картинку src=«example.com/i.php?secret-data=12345678900987654321».

                    Или заходим (расширением) в соцсеть и пересылаем секрет личным сообщением злоумышленнику. Или постим комментарием на ютубе.

                    Ограничить конечно можно, но сложно. По факту, если вы даете расширению доступ к странице сайта, то он может что угодно от имени страницы делать.
                0
                Давно ищу как прибить гвоздями конкретное расширение к конкретному сайту, а на других url чтоб было всегда отключено. Пока никакого решения нет.
                  0
                  Скачать расширение, поправить права в манифесте с "<all_urls>" на «htps://nuzniy_url/*» и установить его себе в режиме для разработчиков.
                    0
                    Расширение будет отключено (disabled) на других сайтах? Что-то мне кажется наврядли.
                      0
                      Смотреть надо, чего оно там делает. Но в целом думаю в 99% можно ограничить работу расширения одним/двумя/N сайтами при помощи правки разрешений. Они ведь для этого и нужны, чтобы определять, куда ему можно лезть, а куда нет. Сам щас поэксперементировал.
                        0
                        Недавно сделали такую возможность. Правда я сам ещё не пробовал это использовать.
                +1
                Стоит ли россиянам переживать за приватность переписки в фейсбуке, если их точно читает ФСБ?

                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                Самое читаемое