Личные данные 170 млн. фейсбуковцев утекли в торренты

Некий эксперт по безопасности Рон Боуз (Ron Bowes) собрал публичные данные примерно третьей части пользователей социальной сети Facebook (100 млн. человек) и выложил их в торренты. Для этого он воспользовался официальным инструментом "Фейсбука".

Узнав о том, что в Facebook существует каталог всех пользователей этой сети, Боуз, по его словам, первым делом подумал о том, чтобы собрать оттуда все имена и передать их своему приятелю-хакеру, который работает над созданием утилиты для подбора паролей методом грубой силы (официально утилита позиционируется как корпоративный инструмент для проверки пользовательских паролей на прочность, но суть от этого не меняется).

Однако Боуз быстро сообразил, что каталог пользователей "Фейсбука" предоставляет гораздо больше возможностей. Ведь из него можно зайти в профиль любого юзера и выгрести оттуда всю информацию, которой этот юзер счёл нужным поделиться со всем миром — или же, что весьма вероятно, которую он не скрыл, поскольку не дал себе труда зайти в настройки параметров конфиденциальности.

Хакер набросал скрипт, который обходит всех пользователей из каталога и собирает такие данные. Обычно (при настройках конфиденциальности, принятых по умолчанию) речь идёт об именах, фотографиях, "френдах" и некоторых других деталях. В некоторых случаях списки "френдов" не видны — если пользователь всё-таки не поленился поковыряться в настройках.

Стоит отметить ещё один момент: у пользователей "Фейсбука" имеется возможность убрать свой профиль из каталога. Вполне возможно, что какой-то процент фейсбуковцев так и сделал, хотя почти наверняка многие вообще не подозревают о существовании каталога как такового. С другой стороны, даже если пользователя нет в каталоге, почти наверняка на него можно выйти через какого-нибудь из его менее скрытных "френдов" — т.е. через человека, чей профиль есть в каталоге и который пользуется "заводскими" настройками конфиденциальности, раскрывающими "френдов".

Впрочем, Боуз признаётся, что его "паук" пока что обошёл только те профили, которые находятся в каталоге, игнорируя профили "френдов". Это было сделано не столько по причине усложнения алгоритма (на самом деле, речь идёт всего о нескольких дополнительных строках кода), сколько в целях экономии трафика. Потому что буквально несколько дней назад Facebook объявил о преодолении рубежа в 500 млн пользователей — а это гигабайты данных из профиля.

Также Боуз говорит, что ограничился только пользователями, чьи имена начинаются с латинских букв. Исследователь говорит, что планирует добавить поиск по "нелатинским" юзерам в следующих версиях своего "паука", так что у российских пользователей ещё есть время подтянуть настройки конфиденциальности в самый параноический режим. Стоит, однако, поторопиться, так как код "паука" Боуз любезно открыл.

Нынешняя версия этого скрипта скрупулёзно прошерстила каталог и собрала данные о 171 млн пользователей. Боуз также уточняет, что среди этих миллионов есть только 100 млн уникальных имён, в связи с чем в онлайн-СМИ можно встретить упоминание именно о таком числе "собранных" аккаунтов. Но если говорить об уникальных пользователях, то их как раз 171 млн, просто многие из них тёзки (к примеру, по статистике Боуза, в каталоге более 17 тысяч Джонов Смитов).

Собранные сведения вместе с URL-адресами профилей, статистическими данными и кодом "паука" потянули примерно на 2,8 Гбайт. Поэтому Боуз поделился ими с миром при помощи технологии BitTorrent. Вот прямая ссылка на торрент-файл, созданный хакером. Аналогичный торрент сейчас лидирует в результатах поиска по строке "Facebook" на The Pirate Bay (на данный момент там 2100+ сидеров и 3700+ личеров).

Напомним, что в конце прошлого года Facebook "улучшил" настройки параметров конфиденциальности так, что некоторые приватные пользовательские данные автоматически стали публичными. Известно также ещё об одном исследователе, Пите Уордене, который собирал публичные данные о фейсбуковцах в автоматическом режиме и собирался открыть собранную базу для других, но адвокаты Facebook пригрозили Уордену судом, и тот свернул свою деятельность.