Alguém colocou as mãos em um banco de dados cheio de números de telefone de usuários do Facebook e agora está vendendo esses dados usando um bot do Telegram, de acordo com um relatório de Placa-mãe. O pesquisador de segurança que encontrou essa vulnerabilidade, Alon Gal, diz que a pessoa que executa o bot afirma ter as informações de 533 milhões de usuários, que vieram de uma vulnerabilidade do Facebook corrigida em 2019.

Com muitos bancos de dados, alguma habilidade técnica é necessária para encontrar quaisquer dados úteis. E muitas vezes tem que haver uma interação entre a pessoa com o banco de dados e a pessoa que tenta obter informações dele, já que o “proprietário” do banco de dados não vai apenas dar a outra pessoa todos esses dados valiosos. Fazer um bot do Telegram, no entanto, resolve esses dois problemas.

O bot permite que alguém faça duas coisas: se eles têm o ID de usuário do Facebook de uma pessoa, eles podem encontrar o número de telefone dessa pessoa, e se eles têm o número de telefone de uma pessoa, eles podem encontrar seu ID de usuário do Facebook. Embora, é claro, obter acesso às informações que você procura custe dinheiro – desbloquear uma informação, como um número de telefone ou ID do Facebook, custa um crédito, que a pessoa por trás do bot está vendendo por $ 20. Também há preços em massa disponíveis, com 10.000 créditos vendidos por US $ 5.000, de acordo com o relatório da placa-mãe.

O bot está funcionando desde pelo menos 12 de janeiro de 2021, de acordo com as capturas de tela postadas por Gal, mas os dados aos quais ele fornece acesso são de 2019. Isso é relativamente antigo, mas as pessoas não mudam os números de telefone com frequência. É especialmente embaraçoso para o Facebook, pois ele historicamente coleta números de telefone de pessoas, incluindo usuários que ativam a autenticação de dois fatores.

No momento, não se sabe se Placa-mãe ou pesquisadores de segurança contataram o Telegram para tentar derrubar o bot, mas espero que seja algo que possa ser reprimido em breve. Isso não é para pintar um quadro muito otimista, no entanto – os dados ainda estão lá na web e reapareceram algumas vezes desde que foram inicialmente removidos em 2019. Eu só espero que o acesso fácil seja interrompido.



Fonte: www.theverge.com

Deixe uma resposta