- Специальный корреспондент
Несколько минут назад мне на глаза попалась свежая новость об утечке с сайта Pikabu:
Я решил проверить безопасность своего аккаунта, к сожалению оказалось, что утечка вовсе не утка. Мой аккаунт и аккаунты моих знакомых все подтверждены: слиты почты; номера телефонов и никнеймы.
OSINT
Из публичного на Pikabu ссылка на слитую базу оказалась замазанной, а ушлые пользователи, раздобывшие БД по своим каналам, в комментариях просили денежку за проверку какого-либо аккаунта.
Я взял первое предложение со скриншота из публичных комментариев на Pikabu и вбил его в поиск Яндекса использовав "лёгкий поисковый я.дорк". Данные действительно оказались публичные.
Либо 1 млн. записей хакеры дешифровали (обратное хэширование), либо администрация Pikabu обманывает своих пользователей про обезличивание данных, мне не известно (это моё субъективное мнение).
Исполнив соло на клавиатуре я создал новый аккаунт на Pikabu и вижу, что модераторы всё еще просят подтверждать свой аккаунт при помощи номера мобильного телефона (и даже где-то утверждают, что номер телефона защищён и в безопасности).
Пусть пользователи сами решают на сколько номер телефона в безопасности, а я считаю, что кто-то сильно новые БД, которые создают очередную угрозу для приватности/перс.данных пользователей Рунета...
В качестве примера: если у пользователя имеется ник в Tg и совпадает с префиксом утечки/почты (username@yandex.ru), то его скрытый телефон становится доступен тому, кто им заинтересуется (к сожалению примеров деанонимизации пользователей из-за подобных утечек гораздо больше чем может показаться на первый взгляд).
Слитая БД Pikabu содержит 1_091_670 записей
Утечка содержит никнейм; телефон и e-mail.
Материал подготовил разработчик OSINT-инструмента ne555.
