«Ми продаємо персональну інформацію користувачів Facebook. Наша база включає 120 млн акаунтів, з можливістю вибірки по конкретним країнам. Вартість одного профайла становить 10 центів», - написав він.

Користувач додав посилання на сайт Fbserver, на якому в якості прикладу була викладена частина інформації. На Fbserver дійсно потрапили персональні дані користувачів соцмережі. Потім цей сайт кілька разів блокувався, але надалі в якості дзеркала перезапускати на нових адресах.

На одному з останніх дзеркал - Socialser21 - була опублікована інформація про 257 тис. облікових записів Facebook. Британська компанія Digital Shadows провела аналіз опублікованих відомостей на прохання BBC і з'ясувала деякі подробиці.
Найактивніше у витоку даних представлена ​​Україна - дані про 47 тис. користувачів із загальної кількості 257 тис. Всього на сайті майже 200 розділів по країнах, в вибірці є облікові записи з Великобританії, США, Бразилії, Японії та країн СНД.

У третини всього масиву даних (81 тис. профайлів) у відкритому доступі були викладені особисті повідомлення, підрахували в Digital Shadows. Російська служба BBC зв'язалася з п'ятьма громадянами Росії з Москви, Бєлгорода та Пермі, чиє особисте листування було доступне на Socialser21, і всі вони підтвердили її автентичність. В особистих повідомленнях користувачів можна зустріти привітання зі святами, обговорення концерту Depeche Mode, скарги тещі на зради зятя, листування з шанувальниками, з'ясування відносин між двома закоханими і скарги на те, що «немає просвіту в життєвій рутині».

За іншої частини облікових записів у вільний доступ були викладені основні біографічні дані зі списком друзів. Іноді біографія доповнена днем ​​народження і номером мобільного телефону. Всі телефони, які перевірила Російська служба BBC, виявилися справжніми і дійсно належать жертвам витоку. При цьому у відкритій частині профайлів цих людей день народження і номер мобільного відсутні. Справжність даних про громадян Японії також підтвердило японське агентство Kyodo. Дані у витоку акутальні станом на середину 2018 року.

Як з'ясували в BBC, сукупність ознак показує, що і до запуску порталу, і, можливо, до злому могли мати відношення люди, пов'язані з Росією. Зокрема, при створенні ресурсу була вказана пошта від російського сервісу mail.ru, а за станом на початок жовтня у порталу був петербурзька IP-адреса. Одна IP-адреса згадується в реєстрі проекту Cybercrime-tracker, який відстежує, через які IP хакери зламують комп'ютери користувачів. За даними реєстру, IP-адреса Fbserver використовувався для розсилки троян-вірусу LokiBot, за допомогою якого зловмисники отримують доступ до паролів користувачів. Автори вірусної розсилки могли стояти і за Fbserver.

З Fbserver пов'язані ще близько 20 ресурсів, підрахували в американській дослідницькій компанії ThreatConnect. Частина з них використовують або використовували російські IP-адреси (Москва, Санкт-Петербург або Володимирська область). Спорідненість цих сайтів один з одним видно також за загальними DNS-серверів, загальною поштою адміністратора та іншими ознаками. В якості контакту адміністратора іноді вказуються російські імена і прізвища в розділі «Ім'я реєстратора» і навіть російські мобільні телефони.

Власне розслідування Facebook показало, що зловмисники, які стоять за Fbserver, могли отримати дані користувачів за допомогою шкідливих розширень для браузерів. Ці розширення, встановлені за згодою користувачів, отримували доступ до їх персональної інформації.

Джерело: BBC