5.33亿Facebook用户电话号码在黑客论坛上泄露

全球约5.33亿Facebook用户的手机号码和其他个人信息已在一个流行的黑客论坛上免费泄漏。

2020年6月，一个成员开始将Facebook数据出售给其他成员时，被盗数据首先在黑客社区中浮出水面。导致此漏洞突出的原因在于，该漏洞包含可以从公共资料和与该帐户关联的私人手机号码中抓取的会员信息。

出售的数据包括533,313,128位Facebook用户，以及会员的手机号码，Facebook ID，姓名，性别，位置，亲戚状态，职业，出生日期和电子邮件地址等信息。

从BleepingComputer看到的Facebook数据样本中，几乎每个用户记录都包含一个手机号码，一个Facebook ID，一个名称以及该会员的性别。

以下是一小段美国记录，显示了编辑过的手机号码，从纽约的917手机区号开始。

根据网络犯罪情报公司Hudson Rock的首席技术官Alon Gal的说法，据信威胁参与者在2019年利用了Facebook的“添加朋友”功能中一个现已修复的漏洞，该漏洞使他们能够访问会员的电话号码。 

尚不清楚此所谓的漏洞是否允许威胁行动者检索泄漏数据中的所有信息或仅检索电话号码，然后再将其与从公共配置文件中抓取的信息结合在一起。

在最初出售该数据（据信售价为30,000美元）之后，另一个威胁行为者创建了一个私人Telegram机器人，该机器人允许其他威胁行为者付费搜索Facebook数据。 

Facebook数据泄漏免费发布

如今，该Facebook数据泄漏已在同一黑客论坛上免费发布，可获得8个站点“信用”，这是黑客论坛上的一种货币形式，约合2.19美元。

尽管数据泄露最初是以高价出售的，但通常会以越来越低的价格出售，直到最终免费发布，以赢得黑客社区的声誉。

盖尔在一次谈话中对BleepingComputer说：“就像每次一样，人们开始以越来越便宜的价格出售产品，直到它免费泄漏为止。”

数据泄漏中包括Facebook的三位创始人的电话号码-马克·扎克伯格，克里斯·休斯和达斯汀·莫斯科维茨，这是首次在Facebook上注册的第四，第五和第六名成员。

为了回应我们有关数据泄漏的疑问，Facebook告诉BleepingComputer，该数据与2019年收集的数据相同。

一位Facebook发言人告诉BleepingComputer：“这是以前在2019年报告的旧数据。我们在2019年8月发现并修复了此问题。”

尽管数据可能来自2019年，但通常电话号码和电子邮件地址会在许多年内保持不变，这对于威胁行动者来说很有价值。

下面列出了威胁参与者所描述的成员暴露的前20个地理位置。这些位置可能是Facebook成员在其个人资料中输入的位置。

数据可用于进行攻击

黑客论坛上的其他威胁行为者都热衷于此版本，因为他们可以使用此版本对数据泄漏中列出的人员进行攻击。 

例如，威胁参与者可以使用电子邮件地址进行网络钓鱼攻击，并使用手机号码进行网络钓鱼（移动文本网络钓鱼）攻击。 

威胁参与者还可以使用手机号码和泄露的信息来执行SIM卡交换攻击，以窃取通过SMS发送的多因素身份验证代码。

原文来自: BleepingComputer.com