Los actores de la amenaza están vendiendo más de 267 millones de perfiles de Facebook por £ 500 ($ 623) en sitios web oscuros y foros de piratas informáticos. Si bien ninguno de estos registros incluye contraseñas, sí contienen información que podría permitir a los atacantes realizar ataques de phishing o SMS para robar credenciales.
El mes pasado, el investigador de seguridad Bob Diachenko descubrió una base de datos abierta de Elasticsearch que contenía un poco más de 267 millones de registros de Facebook, siendo la mayoría usuarios de los Estados Unidos.
Para muchos de estos registros, contenían el nombre completo de un usuario, su número de teléfono y una identificación única de Facebook.
El ISP que aloja la base de datos finalmente desconectó el servidor después de ser contactado por Diachenko.
Poco después, un segundo servidor que contenía los mismos datos más 42 millones de registros adicionales se puso en línea, pero fue rápidamente atacado por actores de amenazas desconocidos que dejaron un mensaje que les decía a los propietarios que aseguraran sus servidores.
De estos nuevos datos, 16,8 millones de registros incluyeron más información, como la dirección de correo electrónico, la fecha de nacimiento y el género de un usuario de Facebook.
No se descubrió a quién pertenecían estos servidores, pero Diachenko creía que era propiedad de una organización criminal que robó los datos utilizando la API de Facebook antes de que se bloqueara o mediante el raspado de perfiles públicos.
Los datos ahora se venden por £ 500
Este fin de semana, la firma de inteligencia de seguridad cibernética Cyble descubrió a un actor de amenazas que vendía esta base de datos por £ 500 en la web oscura y a través de foros de piratería.
En una conversación con Beenu Arora, CEO de Cyble, a BleepingComputer le dijeron que los investigadores habían comprado la base de datos para verificar los datos y que la estaban agregando a su servicio de notificación de incumplimiento http://AmIbreached.com .
Al igual que Diachenko, Arora no está seguro de cómo se compilaron estos datos.
«En esta etapa, no sabemos cómo se filtraron los datos en primera instancia, podría deberse a una fuga en la API de terceros o al desguace», dijo Arora a BleepingComputer. «Dado que los datos contienen detalles confidenciales sobre los usuarios, los ciberdelincuentes podrían utilizarlos para suplantación de identidad y spam».