Vorige maand had Facebook te lijden onder een enorme hack. De aanval zou miljoenen accounts hebben getroffen. Er is al een maand verstreken sinds het voorval, maar Facebook geeft nog steeds niet veel details vrij. Met name omtrent de geografische reikwijdte en welke gegevens er precies zijn gestolen is nog veel onduidelijkheid. Onlangs ontdekte de BBC een advertentie die privéberichten van de gehackte Facebook-accounts te koop aanbood. De verkopers hadden naar verluidt gegevens van miljoenen accounts. Het is onduidelijk of ze deze gegevens hebben van de recente hack, het Cambridge Analytica-incident of op een andere manier.
Privéberichten Facebook-gebruikers in handen hackers
De BBC Russian Service heeft de reclame voor verkoop van berichten en persoonlijke informatie van Facebook-gebruikers heeft ontdekt. De verkopers beweerden dat ze beschikten over gegevens van miljoenen gehackte Facebook-accounts.
Het BBC Russian Service-team vond de advertentie in september, waarna ze contact opnamen met de verkopers. Zij deden zichzelf voor als potentiële kopers voor de informatie van twee miljoen accounts. Het team kon de accounts kopen voor 10 cent per account. Zoals vermeld in hun rapport,
“Het lek kwam voor het eerst aan het licht in september. Toen verscheen er een bericht van een gebruiker met de bijnaam FBSaler op een Engelstalig internetforum. “Wij verkopen persoonlijke informatie van Facebook-gebruikers. Onze database bevat 120 miljoen accounts “, schreef de gebruiker.”
Cyberbeveiligingsbedrijf Digital Shadows
Het BBC-team heeft ook Digital Shadows – een cyberbeveiligingsbedrijf – betrokken om de voorbeeldgegevens te verifiëren. Het bedrijf bevestigen dat de steekproef daadwerkelijk gegevens van 81.000 Facebook-accounts bevatte. Deze profielen bevatten actuele privéberichten van Facebook gebruikers die BBC kon inzien.
De echtheid van profielen moest nog bevestigd worden. Daarom nam het BBC Russian Service-team contact op met vijf van de vermeende Facebook-gebruikers. Ze erkennen de authenticiteit van de foto’s en berichten. Zij deelden bijvoorbeeld foto’s van een recente vakantie. Een andere ging over een recent Depeche Mode-concert en over een schoonzoon.
IP adres in het verleden gebruikt voor cyberaanvallen
BBC heeft een van de websites gevonden die reclame maakt voor deze gegevens. Deze lijkt te linken naar St. Petersburg, Rusland, met een “flagged” IP-adres.
“Het IP-adres is in het verleden “flagged” door de Cybercrime Tracker-service. Er staat dat het adres is gebruikt om LokiBot Trojan te verspreiden, waardoor aanvallers toegang kunnen krijgen tot gebruikerswachtwoorden.”
Facebook wijt het ontstane datalek aan kwaadwillende browserextensies
Na de ontdekking nam het BBC-team contact op met Facebook over de kwestie. Facebook-medewerkers vermoeden dat een kwaadwillende browser extensie is gebruikt om gegevens van gebruikers te exfilteren. Ze bevestigen dat hun beveiliging niet is aangetast en dat ze contact hebben opgenomen met de ontwikkelaars. Ze noemden echter geen specifieke extensie. Volgens Guy Rosen,
“We hebben contact gezocht met browsermakers om ervoor te zorgen dat bekende kwaadaardige extensies niet langer zijn te downloaden in hun winkels.”
Gerechtelijke macht
Ze bevestigen ook dat ze de gerechtelijke macht bij het onderzoek naar de kwestie betrokken hebben.
“We hebben ook contact opgenomen met de geëigende justitiële diensten en hebben samengewerkt met lokale autoriteiten. Hen is verzocht de websites die informatie van Facebook-accounts weergaven en te koop aanboden te verwijderen.”
120 miljoen accounts?
De verkopers claimen de gegevens van 120 miljoen accounts in hun bezit te hebben, waarvan 2,7 miljoen uit Rusland. Digital Shadows vermoedt dat deze claim echter zwaar overdreven is.
De adverteerder werd gevraagd waar de gehackte accounts waren gestolen. Was dit bij het Cambridge Analytica-schandaal of bij de daaropvolgende beveiligingsinbreuken in september. Hij zei dat de informatie niets met beide datalekken te maken had.
De gehackte profielen bestaan voornamelijk uit 2,7 miljoen Russische accounts. Daarnaast nog een (veel kleiner aantal) accounts uit de US, de UK, Brazilië en enkele andere gebieden.
De BBC bevestigt in ieder geval dat de advertentie nu offline is.
