Gün geçmiyor ki büyük teknoloji devleri ve hizmet sağlayıcılarında veri ihlali yaşanmasın. Bu kez de IntelBroker takma adını kullanan bir siber saldırgan, Facebook Marketplace kullanıcılarının cep telefonu numaraları, e-posta adresleri ve diğer kişisel bilgilerini içeren 200.000 kayıt yayınladı. Meta henüz konuyla ilgili bir açıklama yapmadı.
IntelBroker, bu kısmi Facebook Marketplace veritabanının, bir Meta yüklenicisinin sistemlerini hackledikten sonra ‘algoatson’ Discord tanıtıcısını kullanan biri tarafından çalındığını iddia ediyor. IntelBroker, “Ekim 2023’te, Discord’da ‘algoatson’ adını kullanan bir siber suçlu, Facebook için bulut hizmetlerini yöneten bir yükleniciyi ihlal etti ve 200.000 girişten oluşan kısmi kullanıcı veritabanını çaldı” diyor.
Sızdırılan veri tabanı, isimler, telefon numaraları, e-posta adresleri, Facebook kimlikleri ve Facebook profil bilgileri dahil olmak üzere çok çeşitli kişisel olarak tanımlanabilir bilgiler (PII) içeriyor.Tehdit aktörleri internete sızdırılan e-posta adreslerini oltalama saldırılarında ve Facebook Marketplace kullanıcılarının cep telefonu numaralarını mobil oltalama saldırılarında kullanabilir. İfşa edilen cep telefonu numaraları ve kişisel bilgiler, SMS yoluyla gönderilen çok faktörlü kimlik doğrulama kodlarını çalmalarına ve hedeflerinin hesaplarını ele geçirmelerine olanak tanıyacak SIM takas saldırılarında da kullanılabilir.
IntelBroker, ABD Temsilciler Meclisi üyelerinin ve personelinin kişisel verilerinin internete sızdırılmasının ardından kongre oturumuna yol açan DC Health Link ihlaliyle biliniyor. IntelBroker ile bağlantılı diğer siber güvenlik olayları arasında Hewlett Packard Enterprise’dan (HPE) çalınan verilerin satışı, General Electric Aviation’ın ihlal edildiği iddiası ve Weee! market hizmetinin ihlali yer alıyor.
Sosyal medya devi ilk kez veri çaldırmıyor
Facebook Marketplace veri sızıntısı, Meta’nın son yıllarda yaşadığı bu türden ilk olay değil. Kasım 2022’de Meta, Nisan 2021’de 533 milyondan fazla Facebook hesabıyla bağlantılı verilerin bir hacker forumunda sızdırılmasının ardından Facebook kullanıcılarının kişisel bilgilerini kazıyıcılardan koruyamadığı için 265 milyon € (275,5 milyon $) para cezasına çarptırıldı. Çalınan veriler ilk olarak Haziran 2020’de bir bilgisayar korsanı topluluğunda ortaya çıktı ve herkese açık profillerden ve etkilenen hesapların özel cep telefonu numaralarından kazınabilecek bilgiler içeriyordu.
Neticede 500 milyonun üzerinde Facebook kullanıcısının verileri sızdırılmıştı ve açığa çıkan bilgiler arasında cep telefonu numaraları, Facebook kimlikleri, adları, cinsiyetleri, konumları, ilişki durumları, meslekleri, doğum tarihleri ve e-posta adresleri yer almıştı. Üstelik Nisan 2021 veri sızıntısı sosyal ağ devinin üç kurucusunun (Mark Zuckerberg, Chris Hughes ve Dustin Moskovitz) telefon numaralarını da içeriyordu.
