Ruská státem vlastněná sociální síť VKontakte (VK) se stala obětí rozsáhlého úniku dat, který ovlivnil více než polovinu jejích uživatelů. Tento incident představuje další významný bezpečnostní problém pro největší ruskou sociální platformu.
Podle informací zveřejněných na nelegálním tržišti BreachForums uživatelem vystupujícím pod přezdívkou Hikki-Chan, došlo k masivnímu úniku dat z VK v září 2024. Útočník nabídl data ke stažení prakticky zdarma.
Uniklá data obsahují 390,4 milionu záznamů, které po rozbalení zabírají 27,6 GB úložného prostoru. Mezi kompromitované údaje patří:
- ID číslo uživatele
- Jméno a příjmení
- Pohlaví
- Profilový obrázek
- Země a město pobytu
Very interesting db with VK (RU-based Vkontakte service) users appeared recently. 126GB+ index w/ 32M+ records, containing scraped/API-queried data, incl. even closed/protected accs. Links to photos. Full fields mapping here: https://t.co/FAzjBcepF8 pic.twitter.com/UoSNyBmeWs
— Bob Diachenko 🇺🇦 (@MayhemDayOne) September 11, 2022
Zdroj:
X
Historie VK a předchozí incidenty
VKontakte je 23. nejnavštěvovanějším webem na světě s 1,1 miliardou měsíčních návštěvníků, přičemž 89 % návštěvnosti pochází z Ruska. Tento únik tedy zasáhl významnou část ruské online populace.
VK byla založena v roce 2006 a jedním z jejích spoluzakladatelů byl Pavel Durov, současný generální ředitel populární komunikační aplikace Telegram. V prosinci 2021 převzaly kontrolu nad VK ruské státní společnosti.
V roce 2022 uniklo z VK více než 126 GB dat obsahujících 32 milionů záznamů, včetně odkazů na fotografie a plná jména. V červnu 2016 pak hackeři ukradli 171 milionů účtů VK a pokoušeli se prodat data včetně hesel v prostém textu za přibližně 580 dolarů.
Reakce a bezpečnostní dopady
Podle Hikki-Chana nebyla VK napadena přímo, ale data byla získána prostřednictvím úniku u třetí strany, která měla přístup k datům VK. Tento incident zdůrazňuje důležitost zabezpečení nejen vlastních systémů, ale i systémů partnerů a dodavatelů.
Bezpečnostní výzkumník Bob Diachenko upozornil, že v uniklých datech byly zahrnuty i uzavřené nebo chráněné účty VK, což zvyšuje závažnost tohoto incidentu.
Únik dat z VK přichází v době zvýšeného napětí mezi Ruskem a mezinárodním společenstvím. Po ruské vojenské invazi na Ukrajinu a následných mezinárodních sankcích byla aplikace VK odstraněna z Apple App Store- v Obchodě Play je dostupná.
Útočník Hikki-Chan, který se objevil na začátku roku 2024, byl podle zprávy bezpečnostní společnosti Cyfirma dříve spojován s útoky na několik izraelských společností a vládních institucí, včetně izraelské policie, ministerstva obrany a ministerstva sociálních věcí.
Tento masivní únik dat z VK podtrhuje přetrvávající zranitelnost i velkých sociálních platforem a zdůrazňuje potřebu neustálého zlepšování kybernetické bezpečnosti. Pro uživatele VK a obecně pro všechny uživatele sociálních sítí je toto připomínkou důležitosti ochrany osobních údajů a obezřetnosti při sdílení informací online.