[утечка 1.091k] Слив базы пользователей Pikabu

от автора

Мой аккаунт на Pikabu. Телефон и почта достоверно слиты.
Мой аккаунт на Pikabu. Телефон и почта достоверно слиты.

Несколько минут назад мне на глаза попалась свежая новость об утечке с сайта Pikabu: Данные пользователей pikabu слили?

Ответ по-видимому модератора развлекательного портала.
Ответ по-видимому модератора развлекательного портала.

Я решил проверить безопасность своего аккаунта, к сожалению оказалось, что утечка вовсе не утка. Мой аккаунт и аккаунты моих знакомых все подтверждены: слиты почты; номера телефонов и никнеймы.

OSINT

Из публичного обсуждения на Pikabu ссылка на слитую базу оказалась замазанной, а ушлые пользователи, раздобывшие БД по своим каналам, в комментариях просили денежку за проверку какого-либо аккаунта.

Я взял первое предложение со скриншота из публичных комментариев на Pikabu и вбил его в поиск Яндекса использовав «лёгкий поисковый я.дорк». Данные действительно оказались публичные.

Скриншот из комментариев на Pikabu.
Скриншот из комментариев на Pikabu.
Вбил в поиск Яндекса данные и получил ссылку на публичный TG-канал, в котором выложена ссылка на слитую БД Pikabu.
Вбил в поиск Яндекса данные и получил ссылку на публичный TG-канал, в котором выложена ссылка на слитую БД Pikabu.

Цитирование из политики конфиденциальности Pikabu

5.4. Категории персональных данных, которые Оператор собирает для достижения целей, указанных в пункте 5.2. Политики:
5.4.1.
Контактный телефон.
5.4.2.
Адрес электронной почты.
5.4.3. Информация об IP адресе.
5.4.4. Геолокационные данные.
5.5. Оператор не обрабатывает специальные категории персональных данных Пользователей.
—————————————

При этом в отношении тех персональных данных, которые необходимы для регистрации и аутентификации, такие как: id Пользователя в социальной сети; адрес электронной почты; контактный номер телефона Оператор производит обезличивание путем хэширования для целей исполнения договора, в частности, пункта 10.8 правил.

Либо 1 млн. записей хакеры дешифровали (обратное хэширование), либо администрация Pikabu обманывает своих пользователей про обезличивание данных, мне не известно (это моё субъективное мнение).

Исполнив соло на клавиатуре я создал новый аккаунт на Pikabu и вижу, что модераторы всё еще просят подтверждать свой аккаунт при помощи номера мобильного телефона (и даже где-то утверждают, что номер телефона защищён и в безопасности).

Пусть пользователи сами решают на сколько номер телефона в безопасности, а я считаю, что кто-то сильно обогатит новые БД, которые создают очередную угрозу для приватности/перс.данных пользователей Рунета…

Слитая БД Pikabu содержит 1_091_670 записей
Утечка содержит никнейм; телефон и e-mail.
Утечка содержит никнейм; телефон и e-mail.

Материал подготовил разработчик OSINT-инструмента Snoop Project ne555.


ссылка на оригинал статьи https://habr.com/ru/post/654441/


Комментарии

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *