- PVSM.RU - https://www.pvsm.ru -

[утечка 1.091k] Слив базы пользователей Pikabu

Мой аккаунт на Pikabu. Телефон и почта достоверно слиты.
Мой аккаунт на Pikabu. Телефон и почта достоверно слиты.

Несколько минут назад мне на глаза попалась свежая новость об утечке с сайта Pikabu: Данные пользователей pikabu слили? [1]

Ответ по-видимому модератора развлекательного портала.
Ответ по-видимому модератора развлекательного портала.

Я решил проверить безопасность своего аккаунта, к сожалению оказалось, что утечка вовсе не утка. Мой аккаунт и аккаунты моих знакомых все подтверждены: слиты почты; номера телефонов и никнеймы.

OSINT

Из публичного обсуждения [2] на Pikabu ссылка на слитую базу оказалась замазанной, а ушлые пользователи, раздобывшие БД по своим каналам, в комментариях просили денежку за проверку какого-либо аккаунта.

Я взял первое предложение со скриншота из публичных комментариев на Pikabu и вбил его в поиск Яндекса использовав "лёгкий поисковый я.дорк". Данные действительно оказались публичные.

Скриншот из комментариев на Pikabu.
Скриншот из комментариев на Pikabu.
Вбил в поиск Яндекса данные и получил ссылку на публичный TG-канал, в котором выложена ссылка на слитую БД Pikabu.
Вбил в поиск Яндекса данные и получил ссылку на публичный TG-канал, в котором выложена ссылка на слитую БД Pikabu.

Цитирование из политики конфиденциальности [3] Pikabu

5.4. Категории персональных данных, которые Оператор собирает для достижения целей, указанных в пункте 5.2. Политики:
5.4.1. Контактный телефон.
5.4.2. Адрес электронной почты.
5.4.3. Информация об IP адресе.
5.4.4. Геолокационные данные.
5.5. Оператор не обрабатывает специальные категории персональных данных Пользователей.
--------------------------------------

При этом в отношении тех персональных данных, которые необходимы для регистрации и аутентификации, такие как: id Пользователя в социальной сети; адрес электронной почты; контактный номер телефона Оператор производит обезличивание путем хэширования для целей исполнения договора, в частности, пункта 10.8 правил.

Либо 1 млн. записей хакеры дешифровали (обратное хэширование), либо администрация Pikabu обманывает своих пользователей про обезличивание данных, мне не известно (это моё субъективное мнение).

Исполнив соло на клавиатуре я создал новый аккаунт на Pikabu и вижу, что модераторы всё еще просят подтверждать свой аккаунт при помощи номера мобильного телефона (и даже где-то утверждают, что номер телефона защищён и в безопасности).

[утечка 1.091k] Слив базы пользователей Pikabu - 5

Пусть пользователи сами решают на сколько номер телефона в безопасности, а я считаю, что кто-то сильно обогатит [4] новые БД, которые создают очередную угрозу для приватности/перс.данных пользователей Рунета...

Слитая БД Pikabu содержит 1_091_670 записей
Утечка содержит никнейм; телефон и e-mail.
Утечка содержит никнейм; телефон и e-mail.

Материал подготовил разработчик OSINT-инструмента Snoop Project [5] ne555.

Автор:
ne555

Источник [6]

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/news/372676

Ссылки в тексте:

[1] Данные пользователей pikabu слили?: https://pikabu.ru/story/dannyie_polzovateley_pikabu_slili_8895944

[2] обсуждения: https://pikabu.ru/story/dannyie_polzovateley_pikabu_slili_8895944?cid=228691577

[3] конфиденциальности: https://pikabu.ru/information/terms

[4] обогатит: https://yandex.ru/search/?text=%D0%BE%D0%B1%D0%BE%D0%B3%D0%B0%D1%89%D0%B5%D0%BD%D0%B8%D0%B5+%D0%B1%D0%B0%D0%B7+%D0%B4%D0%B0%D0%BD%D0%BD%D1%8B%D1%85

[5] Snoop Project: https://github.com/snooppr/snoop

[6] Источник: https://habr.com/ru/post/654441/?utm_source=habrahabr&utm_medium=rss&utm_campaign=654441