Благотворительная организация Freecycle[.]org, сайт которой посвящен обмену и утилизации использованных вещей (вместо их выбрасывания), сообщила о масштабной утечке данных, от которой пострадали более 7 миллионов человек.
Стоит отметить, что пользовательская база Freecycle насчитывает почти 11 миллионов участников более чем из 5300 городов по всему миру.
Утечка была обнаружена лишь в конце августа, хотя еще 30 мая 2023 года злоумышленники выставили украденные данные пользователей на продажу на хакерском форуме. Теперь всех пострадавших призывают немедленно сменить пароли. Если пароль от Freecycle использовался повторно где-то еще, его тоже следует изменить.
По данным Freecycle, украденная информация включает имена и ID пользователей, адреса электронной почты и пароли (MD5). Подчеркивается, что никакие другие данные раскрыты не были (например, адреса, номера телефонов, финансовая информация), поскольку все публикации на Freecycle бесплатны и не требуют таких деталей.
На скриншотах, которыми поделился злоумышленник, продающий украденную информацию, видны украдены учетные данные основателя и исполнительного директора Freecycle Дерона Била (Deron Beal). Похоже, именно таким образом злоумышленники и получили полный доступ к сайту и информации о пользователях.
Организация уже уведомила об инциденте соответствующие органы.
При этом Бил сообщил журналистам издания The Register, что утечка вообще может оказаться старой:
«Мы полагаем, что сервер мог быть взломан еще пару лет назад. Похоже, это старая утечка, поскольку образцы данных [опубликованные злоумышленником] явно устарели. Сервер, о котором идет речь, больше не является уязвимым».
