A vpnMentor csapata egy rutin IP ellenőrzés során felfedezett egy nyitott adatbázist, ami közel 200 ezer Facebook felhasználótól származó lopott bejelentkezési adatot tartalmazott, amelyeket csalók aktívan ki is használtak pénzszerzés céljából.
A vpnMentor etikus hacker csapata már korábban is fedezett fel adatszivárgásokat, amiket úgy sikerül felfedezniük, hogy bizonyos IP tartományokat átnéznek és keresik a futó szolgáltatásokban található sebezhetőségeket, amelyekről értesítik az érintett cégeket. Egy ilyen ellenőrzés során még szeptemberben sikerült felfedezniük egy adatbázist, amelyben az említett 200 ezer Facebook felhasználó adatai szerepeltek.
A csapat további vizsgálódása során kiderítette, hogy a csalók milyen módszerekkel fértek hozzá az adatokhoz és mire is használták őket később. A módszer a szokásos volt, a csalók kamuoldalt gyártottak, ami azt kínálta, hogy a felhasználók megnézhetik, kik kattintottak rá a profiljukra. Itt hamis FB bejelentkezési profillal megszerezték a felhasználói neveket, jelszavakat, majd a hiszékeny áldozatok adatait eltárolták.
Ezután a felhasználók egy Google Play linkre lettek irányítva, ahol egy hamis Facebook analitikai app letöltésére kérték az áldozatokat, amelyik természetesen csak további információkat bányászott ki az eszközökről. A megszereztt adatok birtokában a felhasználók Facebook oldalán különböző hamis híroldalakról osztottak meg linkeket, ezek pedig gyors Bitcoin meggazdagodást ígértek, indulásnak 250 euró befizetését kérték.
A hamis oldalak mellett a The Washington Post és hasonló oldalak linkjeit is megosztották, hogy a Facebook algoritmusa ne tiltsa le a fiókokat. A vpnMentor csapata 5,5 GB adatot talált az adatbázisban, amik 150-200 ezer Facebook felhasználóhoz köthetőek és több bizonyítékot is találtak, hogy a Bitcoin átveréssel is sikerült többeket átverniük.
Az adatbázis bejegyzései szerint júniustól kezdve működött a csalás. A csapat szeptember 21-én találta az adatbázist és még aznap jelentették is a Facebook irányába. A szerver másnap már nem volt elérhető, így feltételezhető, hogy az üzemeltetők megerősítették a szerver biztonságát.
