כ-4 מיליון מספרי טלפון פרטיים של ישראלים נמצאים בידיים זדוניות ומוצעים למכירה בטלגרם: מדובר בבוט שמפעיל גורם לא ידוע, כשכל מה שצריך לעשות הוא להקליד מספר משתמש (User ID) כדי לקבל את את מספר הטלפון – בתשלום של 20 דולר. על פי המגזין Motherboard, המאגר מכיל מידע על כחצי מיליארד משתמשים מ-20 מדינות.
מדובר במאגר מידע שדלף בשנת 2019, אך כעת החומרה הגדולה היא בהנגשה שלו והוצאתו מ"הרשת האפלה" (Darknet) אל הקהל הרחב, בו כל גורם זדוני יכול לעשות שימוש. אלון גל, חוקר אבטחה ישראלי שגילה את הבוט, צייץ בחשבון הטוויטר על הגילוי וכתב "זה הפך להיות מדאיג עוד יותר".
In early 2020 a vulnerability that enabled seeing the phone number linked to every Facebook account was exploited, creating a database containing the information 533m users across all countries.
It was severely under-reported and today the database became much more worrisome 1/2 pic.twitter.com/ryQ5HuF1Cm— Alon Gal (Under the Breach) (@UnderTheBreach) January 14, 2021
מדובר באירוע חמור גם עליו תצטרך פייסבוק לספק תשובות בקרוב, זאת משום שחשיפה למאגר יכולה להוביל את האנשים הלא נכונים לבצע מעשי סחיטה, הונאה, גניבה, איומים ופריצה באמצעות אימות דו-שלבי לחשבונות שונים באמצעות מספר הטלפון של משתמשי הרשת החברתית.
״נושא האיום על פרטיות המשתמשים עולה שוב בשעות האחרונות לאור הפרסום כי בוט של אפילקציית טלגרם מאפשר למשתמשים להזין מספר טלפון כדי לקבל את מזהה הפייסבוק של המשתמש המתאים, או להיפך", אומרת אתי ברגר מומחית בתחום הסייבר והפרטיות ומנכ״לית חברת Tripelp.
"מדובר על מאגר של כ-533 מיליון משתמשים ברחביי העולם וסביר כי בהם נכלל מידע גם של ישראלים רבים (מספריי טלפון ששוייכו לחשבונות פייסבוק עד תאריך תיקון נקודת התורפה של פייסבוק). לדבריי פייסבוק, מדובר על חולשה ישנה משנת 2019 שתוקנה בנתיים אך אין בדבר זה להרגיע כיוון שכאשר מדובר במספריי טלפון, הריי אין אנו נוטים לשנותם באופן תדיר, אלא להיפך - להמשיך ולנייד אותם", מוסיפה ברגר.
Few days ago a user created a Telegram bot allowing users to query the database for a low fee, enabling people to find the phone numbers linked to a very large portion of Facebook accounts.
This obviously has a huge impact on privacy. pic.twitter.com/lM1omndDET— Alon Gal (Under the Breach) (@UnderTheBreach) January 14, 2021
מה הסכנה הכרוכה בשימוש במאגר שכזה? שליחת מסרים וטקסטים מזוייפים בשם אנשים אחרים. "כמו שתמיד אומרים - מידע שווה כסף - גם כאן משתמשים יכולים לקנות רשומות בכדי לחשוף את מספר הטלפון המלא. המסקנה - יש למעט בפרסום מידע שאינו חיוני ולתת את הדעת שכל מידע אותו אנו חולקים, יכול בשלב מסויים גם לשמש כנגדנו. ומה שבטוח - שום דבר אינו בטוח", מסכמת ברגר.
מחברת פייסבוק נמסר: "אלו נתונים ישנים. מצאנו את הבעיה וטיפלנו בה באוגוסט 2019".
טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו