रिपोर्ट: 267 मिलियन फेसबुक उपयोगकर्ताओं की आईडी और फोन नंबर ऑनलाइन उजागर हुए (अद्यतन: अब 309 मिलियन)
267 मिलियन से अधिक फेसबुक उपयोगकर्ता आईडी, फोन नंबर और नामों वाला एक डेटाबेस किसी भी पासवर्ड या किसी अन्य प्रमाणीकरण के बिना एक्सेस करने के लिए वेब पर खुला छोड़ दिया गया था।
कंपेरिटेक ने इलास्टिक्स खोज क्लस्टर को उजागर करने के लिए सुरक्षा शोधकर्ता बॉब डियाचेंको के साथ साझेदारी की। सबूतों के अनुसार, डियाचेंको का मानना है कि डेटा का भंडार संभवतः अवैध स्क्रैपिंग ऑपरेशन या वियतनाम में अपराधियों द्वारा फेसबुक एपीआई के दुरुपयोग का परिणाम है।
डेटाबेस में मौजूद जानकारी का उपयोग अंतिम उपयोगकर्ताओं के लिए अन्य खतरों के अलावा बड़े पैमाने पर एसएमएस स्पैम और फ़िशिंग अभियान चलाने के लिए किया जा सकता है।
डियाचेंको ने तुरंत सर्वर के आईपी पते का प्रबंधन करने वाले इंटरनेट सेवा प्रदाता को सूचित किया ताकि पहुंच को हटाया जा सके। हालाँकि, डियाचेंको का कहना है कि डेटा को डाउनलोड के रूप में एक हैकर फ़ोरम पर भी पोस्ट किया गया था।
6 मार्च, 2020 को अपडेट:एक दूसरे सर्वर का खुलासा उसी आपराधिक समूह द्वारा किया गया था। इस सर्वर में डेटा पहले के समान है, साथ ही अतिरिक्त 42 मिलियन रिकॉर्ड भी हैं। हमने इस लेख को तदनुसार अद्यतन किया है।
क्या आप अपनी गोपनीयता और सुरक्षा की रक्षा के लिए और अधिक प्रयास करना चाहते हैं?अनुशंसित टूल की हमारी सूची देखें:- सर्वश्रेष्ठ वीपीएन
- सर्वोत्तम एंटीवायरस
- सर्वश्रेष्ठ पासवर्ड मैनेजर
- सर्वोत्तम पहचान चोरी संरक्षण
एक्सपोज़र की समयरेखा
एक्सेस हटाए जाने से पहले डेटाबेस लगभग दो सप्ताह तक उजागर रहा। यहाँ हम क्या जानते हैं:
- 4 दिसंबर, 2019 - डेटाबेस को पहली बार खोज इंजन द्वारा अनुक्रमित किया गया था।
- 12 दिसंबर, 2019 - डेटा को एक हैकर फोरम पर डाउनलोड के रूप में पोस्ट किया गया था।
- 14 दिसंबर, 2019 - डियाचेंको ने डेटाबेस की खोज की और तुरंत सर्वर के आईपी पते का प्रबंधन करने वाले आईएसपी को एक दुरुपयोग रिपोर्ट भेजी।
- 19 दिसंबर, 2019 - डेटाबेस तक पहुंच हटा दी गई।
- 2 मार्च, 2020 - समान रिकॉर्ड और अतिरिक्त 42 मिलियन वाले दूसरे सर्वर को खोज इंजन बाइनरीएज द्वारा अनुक्रमित किया गया था।
- 4 मार्च, 2020 - डियाचेंको ने दूसरे सर्वर की खोज की और होस्टिंग प्रदाता को सतर्क किया।
- 4 मार्च, 2020 - अज्ञात अभिनेताओं द्वारा सर्वर पर हमला किया गया और उसे नष्ट कर दिया गया।
आमतौर पर, जब हमें इस तरह का उजागर व्यक्तिगत डेटा मिलता है, तो हम डेटाबेस के मालिक को सूचित करने के लिए कदम उठाते हैं। लेकिन क्योंकि हमारा मानना है कि यह डेटा एक आपराधिक संगठन का है, डियाचेंको सीधे सर्वर और प्रासंगिक आईपी पते की मेजबानी करने वाली पार्टियों के पास गया।
डियाचेंको द्वारा दूसरे सर्वर की खोज के तुरंत बाद, उस पर एक अज्ञात पार्टी द्वारा हमला किया गया था। व्यक्तिगत जानकारी के डेटाबेस को डमी डेटा और डेटाबेस नामों से बदल दिया गया, जिन पर लिखा था, “कृपया_सुरक्षित करें।”_आपके_सर्वर'।
अज्ञात हमले के बाद उजागर हुआ डेटाबेस।
कौन सा डेटा सामने आया
प्रारंभ में, 267,140,436 रिकॉर्ड सामने आए। अधिकांश प्रभावित उपयोगकर्ता संयुक्त राज्य अमेरिका से थे। डियाचेंको का कहना है कि ये सभी वैध प्रतीत होते हैं। प्रत्येक में शामिल है:
- एक अनोखी फेसबुक आईडी
- एक फ़ोन नंबर
- एक पूरा नाम
- एक टाइमस्टैम्प
सर्वर में एक लॉगिन डैशबोर्ड और स्वागत नोट के साथ एक लैंडिंग पृष्ठ शामिल था।
फेसबुक आईडी विशिष्ट खातों से जुड़े अद्वितीय, सार्वजनिक नंबर हैं, जिनका उपयोग किसी खाते के उपयोगकर्ता नाम और अन्य प्रोफ़ाइल जानकारी को समझने के लिए किया जा सकता है।
मार्च 2020 में उजागर हुए दूसरे सर्वर में पिछले सर्वर के समान 267 मिलियन रिकॉर्ड थे, साथ ही अतिरिक्त 42 मिलियन रिकॉर्ड भी थे। इसे यूएस इलास्टिक्स खोज सर्वर पर होस्ट किया गया था। उनमें से 25 मिलियन रिकॉर्ड में समान जानकारी थी: फेसबुक आईडी, फ़ोन नंबर और उपयोगकर्ता नाम।
16.8 मिलियन नए रिकॉर्ड में और भी अधिक जानकारी शामिल है, जिनमें शामिल हैं:
- फेसबुक आईडी
- फ़ोन नंबर
- प्रोफ़ाइल विवरण
- ईमेल पते
- कुछ अन्य व्यक्तिगत विवरण
अपराधियों को फेसबुक डेटा कैसे मिला?
अपराधियों ने उपयोगकर्ता आईडी और फ़ोन नंबर कैसे प्राप्त किए यह पूरी तरह से स्पष्ट नहीं है। एक संभावना यह है कि डेटा कंपनी से पहले फेसबुक के डेवलपर एपीआई से चुराया गया था फ़ोन नंबरों तक पहुंच प्रतिबंधित 2018 में। फेसबुक के एपीआई का उपयोग ऐप डेवलपर्स द्वारा उपयोगकर्ताओं की प्रोफाइल, मित्र सूची, समूह, फोटो और ईवेंट डेटा तक पहुंच कर अपने एप्लिकेशन में सामाजिक संदर्भ जोड़ने के लिए किया जाता है। फ़ोन नंबर 2018 से पहले तीसरे पक्ष के डेवलपर्स के लिए उपलब्ध थे।
डियाचेंको का कहना है कि फेसबुक के एपीआई में एक सुरक्षा छेद भी हो सकता है जो अपराधियों को एक्सेस प्रतिबंधित होने के बाद भी उपयोगकर्ता आईडी और फोन नंबर तक पहुंचने की अनुमति देगा।
एक और संभावना यह है कि डेटा फेसबुक एपीआई का उपयोग किए बिना चुराया गया था, और इसके बजाय सार्वजनिक रूप से दृश्यमान प्रोफ़ाइल पृष्ठों से हटा दिया गया था।
'स्क्रैपिंग' एक शब्द है जिसका उपयोग एक ऐसी प्रक्रिया का वर्णन करने के लिए किया जाता है जिसमें स्वचालित बॉट बड़ी संख्या में वेब पेजों को तेजी से छानते हैं, प्रत्येक से डेटा को डेटाबेस में कॉपी करते हैं। फेसबुक और अन्य सोशल मीडिया साइटों के लिए स्क्रैपिंग को रोकना मुश्किल है क्योंकि वे अक्सर वैध उपयोगकर्ता और बॉट के बीच अंतर नहीं बता पाते हैं। स्क्रैपिंग फेसबुक और अधिकांश अन्य सामाजिक नेटवर्क की सेवा की शर्तों के विरुद्ध है।
बहुत से लोगों की फेसबुक प्रोफ़ाइल दृश्यता सेटिंग्स सार्वजनिक पर सेट होती हैं, जिससे उन्हें स्क्रैप करना आसान हो जाता है।
यह पहली बार नहीं है कि ऐसा डेटाबेस उजागर हुआ है। सितंबर 2019 में, कई डेटाबेस में 419 मिलियन रिकॉर्ड उजागर हुए . इनमें फोन नंबर और फेसबुक आईडी भी शामिल हैं।
उजागर डेटा के खतरे
इतने बड़े डेटाबेस का उपयोग फ़िशिंग और स्पैम के लिए किए जाने की संभावना है, विशेष रूप से एसएमएस के माध्यम से। फेसबुक उपयोगकर्ताओं को संदिग्ध टेक्स्ट संदेशों पर नज़र रखनी चाहिए। भले ही प्रेषक को आपका नाम या आपके बारे में कुछ बुनियादी जानकारी पता हो, किसी भी अनचाहे संदेश पर संदेह न करें।
फेसबुक उपयोगकर्ता अपने खाते की गोपनीयता सेटिंग्स को समायोजित करके अजनबियों द्वारा अपनी प्रोफ़ाइल को स्क्रैप किए जाने की संभावना को कम कर सकते हैं:
- फेसबुक खोलें और पर जाएं **समायोजन**
- क्लिक **गोपनीयता**
- सभी प्रासंगिक फ़ील्ड को यहां सेट करें **दोस्त** या **केवल मैं**
- तय करना **'क्या आप चाहते हैं कि फेसबुक के बाहर के सर्च इंजन आपकी प्रोफ़ाइल से लिंक करें** को **नहीं**
इससे आपकी प्रोफ़ाइल को तीसरे पक्ष द्वारा स्क्रैप किए जाने की संभावना कम हो जाएगी, लेकिन यह सुनिश्चित करने का एकमात्र तरीका कि ऐसा दोबारा न हो, अपने फेसबुक खाते को पूरी तरह से निष्क्रिय या हटा देना है।
हमने यह डेटा कैसे और क्यों खोजा?
कंपेरिटेक असुरक्षित डेटाबेस को उजागर करने और उन्हें जनता के सामने रिपोर्ट करने के लिए बॉब डियाचेंको के साथ काम करता है। हमारा उद्देश्य दुर्भावनापूर्ण पार्टियों द्वारा व्यक्तिगत डेटा तक पहुंच और उसके दुरुपयोग को सीमित करना और संभावित जोखिमों के बारे में प्रभावित लोगों के बीच जागरूकता बढ़ाना है।
उजागर डेटा की खोज करने पर, डियाचेंको तुरंत जिम्मेदार लोगों को सूचित करता है ताकि डेटाबेस को बंद किया जा सके या सुरक्षित किया जा सके। फिर हम पीड़ितों की पहचान करने, जोखिम की अवधि और पीड़ितों के सामने आने वाले किसी भी संभावित खतरे के लिए रिसाव का विश्लेषण करते हैं।
पिछली रिपोर्टें
कॉम्पेरिटेक और डियाचेंको उजागर डेटा को उजागर करने के लिए नियमित रूप से टीम बनाते हैं। हमारी कुछ अन्य रिपोर्टों में शामिल हैं:
- ज्यादातर चीनी डोमेन से 2.7 बिलियन उजागर ईमेल पते, जिनमें से 1 मिलियन में पासवर्ड शामिल थे
- 188 मिलियन लोगों के विस्तृत व्यक्तिगत रिकॉर्ड वेब पर उपलब्ध पाए गए
- K12.com द्वारा 7 मिलियन छात्र रिकॉर्ड उजागर
- MedicareSupplement.com से संबंधित 5 मिलियन व्यक्तिगत रिकॉर्ड जनता के सामने उजागर किए गए
- 2.8 मिलियन सेंचुरीलिंक ग्राहक रिकॉर्ड उजागर
- 700k चॉइस होटल्स के ग्राहक रिकॉर्ड लीक हो गए
DeHashed.com उल्लंघन अधिसूचना, रोकथाम और परामर्श सेवा, ने दूसरे डेटा एक्सपोज़र की भी खोज की और उसी आपराधिक समूह के जिम्मेदार होने का संकेत देने वाले सबूतों की पुष्टि करने के लिए हमसे संपर्क किया।