בוט טלגרם מציע פרטים של 4 מיליון משתמשי פייסבוק ישראלים

החוקר גילה כי הבוט מאפשר הכנסת מספר המשתמש בפייסבוק וקבלה מיידית של המספר שלו – אם הוא קיים. בפייסבוק מנסים להמעיט מחומרת המצב וטוענים כי מדובר במאגר ”ישן” רק כי סגרו את הפירצה ב-2019

מקור: Pixabay

ההודעה של וואטסאפ גרמה לעשרות מיליוני משתמשים להכיר אפליקציות מסרים חדשות ובראשן טלגרם וסיגנל. אחד מהפיצ’רים המעניינים של טלגרם, הוא היכולת להפעיל בוטים למטרות שונות ומעניינות – כמו להודיע לכם מתי המסעדה האהובה עליכם נפתחת בוולט, לעדכן בנתונים שונים או – אתם יודעים – למכור לכם מספרי טלפון ופרטים שהושגו בפרצת אבטחה בפייסבוק מ-2019.

הכניסו את פרופיל הפייסבוק, קבלו את הטלפון

גורם לא ידוע החל בימים האחרונים למכור מספרי טלפון של משתמשי פייסבוק באמצעות בוט בטלגרם, כשכל מה שצריך לעשות הוא להזין את מספר המשתמש שלכם (Facebook ID) כדי לקבל את המספר (וזה עובד גם להיפך, אם תצטרכו).

מאגר המידע אמנם אינו חדש, אך החידוש הוא בהנגשה שלו והוצאתו מהדארקנט אל הקהל הרחב. המאגר כולל כחצי מיליארד (533 מיליון ליתר דיוק) מספרי טלפון של משתמשים ברשת החברתית, כשכל מה שצריך הוא מספר משתמש – שאותו ניתן להשיג בקלות דרך אתרים שונים שבהם מזינים את הלינק לחשבון שלכם. על פי אתר Motherboard, שפרסם את הסיפור, מדובר בחולשת אבטחה בפייסבוק שנסגרה באוגוסט 2019.

את הבוט גילה חוקר האבטחה הישראלי אלון גל, ה-CTO של חברת Hudson Rock. הבוט שמצא גל מאפשר למשתמשים את היכולת לחפש את המספר לפי שם המשתמש או את המשתמש לפי המספר שלו – ואם הוא קיים במאגר של הבוט, תקבלו תוצאה מצונזרת.

כדי לקבל את המספר עצמו (או שם המשתמש) עליכם לשלם ב”קרדיטים”, כשקרדיט אחד עולה 20 דולר. אבל אם תרצו לקנות בסיטונאות, תקבלו הנחת כמות: 5,000 דולר עבור עשרת אלפים קרדיטים (או כמו שמשחקי Freemium קוראים לזה: Best Value).

 

גם המספר שלי שם

המאגר כולל מספרי טלפון של משתמשים מלמעלה מ-100 מדינות, בהם הפרטים של כ-4 מיליון ישראלים. בבדיקה שערכתי גיליתי שגם הפרטים שלי ושל מספר חברים שלי מופיעים בו ונכונים.

גם הפרטים של ישראלים נמצאים שם | צילום מסך

בשיחה עם גיקטיים אומר גל כי גילה את הבוט כחלק מעבודתו, הכוללת שיטוט בפורומים שבהם מפרסמים האקרים מידע גנוב. “תחילה פורסמה הצעה למכירה של מאגר המצמיד מספרי טלפון לחשבונות פייסבוק של מעל 500 מיליון משתמשים וכחלק מהתהליך הטבעי של עולם מכירות המאגרים, אדם נוסף שבידו המאגר החליט להנגיש אותו בצורה רחבה יותר באמצעות בוט טלגרם המאפשר שליפות על תוכן המאגר”, אמר גל.

בחברת הסייבר הישראלית קיבלו דוגמית של המידע מהמאגר שהוצע למכירה. גל מספר כי “להאדסון רוק יש מערכות יחסית עם האקרים ברחבי העולם, דבר המאפשר לנו להשיג מידע ותובנות אקסקלוסיביות אותן אנו משתפים עם הלקוחות ורשויות החוק הרלוונטיות”.

בפייסבוק טוענים שהמידע “ישן”

את מאגר הטלפונים שעליו מבוסס הבוט גילה ב-2019 האקר ישראלי, המוכר בטוויטר תחת שם המשתמש ZHacker. הוא גילה פירצה שאיפשרה לקצור את מספרי הטלפון של המשתמשים בכמויות אדירות – עד שזו נסגרה על ידי פייסבוק. בפייסבוק עברו על חלקים ממאגר המידע שהועבר אליהם מהאתר האמריקאי ואמרו כי מדובר במידע שנקצר לפני התיקון. על פי פייסבוק, כאשר בדקו את הבוט בעצמם מול מידע חדש – הוא לא הצליח לספק תוצאות מעודכנות.


לא רק פרטים של משתמשים ישראלים יש בפייסבוק. יש גם עדכוני טכנולוגיה ברגע שהם קורים. הצטרפו עכשיו לערוץ הטלגרם של גיקטיים


למרות הטענות של פייסבוק כי מדובר במידע “ישן”, חשוב לזכור שמספרי טלפון בניגוד לסיסמאות למשל, הם לא דבר שמשתמשים משנים בקלות ובמהירות, ולכן המידע יהיה זמין ורלוונטי לשנים. חצי המיליארד המשתמשים, שחשופים כעת דרך הבוט הזה, סמכו על הרשת החברתית שתאבטח את מספר הטלפון שלהם, ואף עודדו משתמשים בשנים האחרונות להוסיף את מספר הטלפון שלהם לצורך אימות דו-שלבי.

עם זאת גל לא מתרשם מהתגובה של פייסבוק: “האמירה שהמאגר ישן – לא מאוד רלוונטית מפני שאנשים לא נוטים לשנות את מספרי הפלאפון שלהם. הנזק הפוטנציאלי פה הוא עצום מההיבט של הפרטיות שנפגעה עבור כמעט כל משתמש פייסבוק בעולם ועד ההיבט של ניסיונות Smishing (ניסיונות פישינג באמצעות הודעות טקסט, א.א.) והנדסה חברתית של האקרים”.

 

אושרי אלקסלסי

Your Friendly Neighborhood Geek. יש לכם סיפור טכנולוגי? דברו איתי: Oshry@geektime.co.il

הגב

19 תגובות על "בוט טלגרם מציע פרטים של 4 מיליון משתמשי פייסבוק ישראלים"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
יורם רז
Guest

מחקתי את הפיסבוק שלי לאחרונה

ASD
Guest

ואת טלגרם?

abc
Guest

קומפיוסרב היתה אחת מספקיות האינטרנט הראשונות בעולם

יוני
Guest

אמ; לק – כתבת יח”צ לאלון גל

יוחאי
Guest

איך אפשר למצוא את הבוט הזה?

יונתן
Guest

מאגר הנתונים של פייסבוק כולל גם מספרי טלפון של מי שאין ולא היה לו מעולם חשבון פייסבוק. האפלקציה של פייסבוק דורשת, ומקבלת גישה לכל אנשי הקשר ולכן פוטנציאל הנזק הוא הרבה יותר גדול

איציק סיפורים
Guest

תמיד אפשר לחפש בפייס פרופיל לפי מספר, זה שירות של פייס לא הבנתי על מה המהומה?!
זה שאיזה מתכנת פשוט עבר על כל המספרים וחיפש וקישר הפוך זה לא כזה ביג דיל…

נועה ארביב
Guest

כן? שמישהו השאיר פרטים של 540 מיליון איש על איזה שרת לא מאובטח זה לא כזה ביג דיל? בטוח שאין לך בעיה אז לכתוב פה את השם המלא שלך, מספר הטלפון ולינק לפרופיל פייסבוק שלך, נכון?

פבל
Guest

זה פיצ’ר שהיה קיים ונסגר, וכמו שאתה אומר הספיקו לקצור הכל לפני שפייסבוק סגרו את זה.
אבל פייסבוק שכונה מראש זה לא היה צריך להיות פתוח ככה בדיפולט שזה היה המצב בהתחלה

אסף
Guest

מה שכתבת פשוט לא נכון. שירות החיפוש של פייסבוק לפי מספר טלפון שונה כבר לפני שנים. למעל ל90% מהמשתמשים השירות חסום, אז אין שירות קל כזה. פה מדובר גם על המצב ההפוך. דמיין לך שאתה מפרסם משהו בפייסבוק נגד חברה מסחרית או משטר כלשהו, והם בקליק מקבלים את מספר הטלפון שלך. מדובר במאגר שנגנב מפריצה שהייתה להם, לא שירות פתוח

פבל
Guest

אתה טועה, לא הייתה פירצה. לקחו ספר טלפונים והכניסו את המספרים אחד אחד וקצרו שמות משתמשים.
אם הייתה פירצה לפייסבוק אז יש הרבה יותר מידע מאשר מספר טלפון.

ASD
Guest

בואו. מספר הטלפון של כולנו ממילא נמצא אצל כל ספאמר ופוליטיקאי שחפץ מכך. הבוט פשוט הנגיש את זה ליותר אנשים.

בצל כחול
Guest

תגובה כל כך ילדותית וחסרת מחשבה.
כמעט באותה רמה של “גם ככה מלוכלך פה אז מה זה משנה אם אני אזרוק עוד לכלוך על הריצפה”….

עומר
Guest

גיקטיים אתם בדיחה עיתונאית שלא שמתם לינק לבוט.

עומר
Guest

כן!! בדיוק!!! איך אתם לא מעודדים פעולות לא חוקיות!!

מתמטיקאי דגול
Guest

אם יש כ- 1.5 ילדים וכ- 2 מיליון מבוגרים, לא יותר פשוט לכתוב *כל* משתמשי פייסבוק בישראל?

הנסיך הארי
Guest

איך מגיעים לבוט הזה? רוצה לבדוק אם אני גם חשוף
תודה

חסן
Guest

לכל אלה שמחפשים את הבוט: בחיאת אנחנו ב2021 גגלו ומיצאו את הבוט ואת זהות ההאקר תוך ארבע דקות (בשם: os******bot@) לצפות שזה יופיע בכתבה זה קצת מוגזם. [גם ככה הכתבה מתורגמת, ובמקור אין השם השם של הבוט]

חסן
Guest

ולחשוב על כמויות הכסף שהבוט הזה ייצר. טירוף.

wpDiscuz

תגיות לכתבה: