Эксперты UpGuard обнаружили в открытом доступе более 146 ГБ конфиденциальных данных пользователей Facebook. Некорректная настройка двух облачных хранилищ Amazon выставила на всеобщее обозрение сотни миллионов приватных записей, включая идентификаторы и пароли пользователей, списки их друзей, интересы и опубликованные комментарии.

В отличие от скандала в 2018-м эта утечка произошла из-за партнеров Facebook — медийной компании Cultura Colectiva и неизвестного веб-разработчика, создателя игры для Facebook At The Pool, которая не поддерживается с 2014 года. Основная часть информации пришлась на первую организацию — исследователи нашли в ее облаке более 540 млн записей объемом 146 ГБ.

Вторая база оказалась скромнее, что, впрочем, не уменьшает угрозу для затронутых пользователей. В этом хранилище, помимо прочего, обнаружились 22 тыс. незашифрованных паролей для At the Pool. Специалисты считают, что эти кодовые фразы могут представлять серьезную опасность при организации атак с подстановкой учетных данных.

«Новые утечки обнажают серьезную проблему, которую сейчас нужно решить Facebook, — рассуждают журналисты ZDnet. — Компания собрала лучших экспертов по кибербезопасности и постоянно работает над защитой учетных записей и собственной инфраструктуры… Тем не менее, соцсеть не может контролировать свой главный актив — пользовательские данные, и они утекают направо и налево через непонятные компании, которые копили эту информацию несколько лет».

К настоящему моменту оба хранилища закрыты, однако эксперты не могут сказать, как долго информация оставалась доступна. Контейнер At The Pool перешел в закрытый режим еще в тот момент, когда исследователи изучали его содержимое — они даже не успели уточнить наименование компании-разработчика. Было ли это простое истечение срока доступа, или владелец корзины как-то узнал о компрометации — остается неизвестным.

В случае Cultura Colectiva экспертам пришлось приложить гораздо больше усилий. Еще в январе они дважды пытались связаться с представителями компании, но те так и не ответили на запросы. После этого специалисты написали администраторам Amazon Web Services, которые направили владельцу хранилища уведомление о проблеме.

В конце февраля корзина оставалась доступной, а сотрудники Amazon продолжали искать способ достучаться до ее владельцев. Исследователи ускорили события, сообщив об инциденте журналистам Bloomberg. Репортеры обратились за комментарием к самой соцсети, и 3 апреля ее представители добились закрытия контейнера.

Эксперты напоминают, что именно данные сродни тем, что были в хранилище Cultura Colectiva, вызвали прошлогодний скандал с консалтинговой компанией Cambridge Analytica.

Тогда исследователи использовали легитимное приложение, чтобы изучать поведение пользователей, включая проставленные «лайки» и прочие действия в Facebook. Произошедшее заставило руководство соцсети пересмотреть правила доступа к ценной информации, что не мешает защитникам приватности в Сети находить все новые поводы для обвинений.

Компания Amazon в последние годы сама столкнулась с целой серией утечек из-за неправильно настроенных облачных хранилищ. Хотя виновниками этих инцидентов за редкими исключениями оказываются сами пользователи, компания предпринимает последовательные шаги для усиления защиты своих сервисов.

Категории: Главное, Кибероборона