Слив базы пользователей Pikabu

Специальный корреспондент
Собака

Собака

Пресс-служба
Команда форума
Private Club
Регистрация
13/10/15
Сообщения
55.044
Репутация
62.940
Реакции
277.302
RUB
0
Мой аккаунт на Pikabu. Телефон и почта достоверно слиты.
Мой аккаунт на Pikabu. Телефон и почта достоверно слиты.
Несколько минут назад мне на глаза попалась свежая новость об утечке с сайта Pikabu:

Ответ по-видимому модератора развлекательного портала.
Ответ по-видимому модератора развлекательного портала.
Я решил проверить безопасность своего аккаунта, к сожалению оказалось, что утечка вовсе не утка. Мой аккаунт и аккаунты моих знакомых все подтверждены: слиты почты; номера телефонов и никнеймы.

OSINT

Из публичного на Pikabu ссылка на слитую базу оказалась замазанной, а ушлые пользователи, раздобывшие БД по своим каналам, в комментариях просили денежку за проверку какого-либо аккаунта.

Я взял первое предложение со скриншота из публичных комментариев на Pikabu и вбил его в поиск Яндекса использовав "лёгкий поисковый я.дорк". Данные действительно оказались публичные.

Скриншот из комментариев на Pikabu.
Скриншот из комментариев на Pikabu.
Вбил в поиск Яндекса данные и получил ссылку на публичный TG-канал, в котором выложена ссылка на слитую БД Pikabu.
Вбил в поиск Яндекса данные и получил ссылку на публичный TG-канал, в котором выложена ссылка на слитую БД Pikabu.
Цитирование из политики Pikabu
5.4. Категории персональных данных, которые Оператор собирает для достижения целей, указанных в пункте 5.2. Политики:
5.4.1.
Контактный телефон.
5.4.2.
Адрес электронной почты.
5.4.3. Информация об IP адресе.
5.4.4. Геолокационные данные.
5.5. Оператор не обрабатывает специальные категории персональных данных Пользователей.
--------------------------------------
При этом в отношении тех персональных данных, которые необходимы для регистрации и аутентификации, такие как: id Пользователя в социальной сети; адрес электронной почты; контактный номер телефона Оператор производит
обезличивание путем хэширования для целей исполнения договора, в частности, пункта 10.8 правил.
Либо 1 млн. записей хакеры дешифровали (обратное хэширование), либо администрация Pikabu обманывает своих пользователей про обезличивание данных, мне не известно (это моё субъективное мнение).

Исполнив соло на клавиатуре я создал новый аккаунт на Pikabu и вижу, что модераторы всё еще просят подтверждать свой аккаунт при помощи номера мобильного телефона (и даже где-то утверждают, что номер телефона защищён и в безопасности).

4f55f4b935a60c2a9fbb87a47a704db6.png

Пусть пользователи сами решают на сколько номер телефона в безопасности, а я считаю, что кто-то сильно новые БД, которые создают очередную угрозу для приватности/перс.данных пользователей Рунета...

В качестве примера: если у пользователя имеется ник в Tg и совпадает с префиксом утечки/почты (username@yandex.ru), то его скрытый телефон становится доступен тому, кто им заинтересуется (к сожалению примеров деанонимизации пользователей из-за подобных утечек гораздо больше чем может показаться на первый взгляд).

Слитая БД Pikabu содержит 1_091_670 записей
Утечка содержит никнейм; телефон и e-mail.


Утечка содержит никнейм; телефон и e-mail.
Материал подготовил разработчик OSINT-инструмента ne555.










 
Сверху Снизу