【摘要】 9月5日消息,据外媒报道,社交媒体巨头Facebook最近的隐私漏洞暴露了一台没有密码保护的
9月5日消息,据外媒报道,社交媒体巨头Facebook最近的隐私漏洞暴露了一台没有密码保护的服务器上4亿多条用户记录,每条记录都包含一个用户的Facebook ID和连接到他们账户的电话号码。
暴露的服务器包含多个数据库中的记录,涉及不同地理位置的用户,其中包括美国Facebook用户的1.33亿条记录,英国1800万条用户记录,以及超过5000万条越南用户记录等。由于服务器没有密码保护,任何人都可以找到并访问这些数据库。
用户的Facebook ID通常是与他们的帐户相关联的唯一公共数字,可以很容易地用来识别帐户的用户名。但自从Facebook限制访问用户的电话号码以来,这些信息已经有一年多没有公开过了。
美国媒体通过将已知Facebook用户的电话号码与其列出的Facebook ID进行匹配来验证数据库中的多条记录。此外,他们还通过将电话号码与Facebook自己的密码重置功能进行匹配来检查其他记录,该功能可用于部分揭示用户与其帐户相关联的电话号码。
有些记录还包含用户的姓名、性别和国家/地区的位置。比如来自英国数据库的一组经过编辑的记录,“44”表示+44,这是英国的国家代码,“7”则表示手机号码。
这是自剑桥分析公司(Cambridge Analytica)滥用数据丑闻以来Facebook曝出的最新数据安全漏洞。在2016年美国总统大选中,超过8000万人的个人资料被抓取,以帮助识别摇摆不定的选民。
自那以后,该公司发生了几起备受瞩目的抓取事件,包括Instagram,该公司最近承认有大量的个人资料被抓取。
这起最新事件仅仅通过Facebook ID就暴露了数亿用户的电话号码,使他们面临垃圾电话和SIM交换攻击的风险,这种攻击依赖于欺骗手机运营商将某人的电话号码提供给攻击者。利用他人的电话号码,攻击者可以强制重置与该号码关联的任何互联网帐户的密码。
安全研究员、GDI基金会成员Sanyam Jain找到了数据库,在找不到所有者后联系了媒体。在浏览了上面的数据之后,他们找到了网络主机,随后数据库被拉离线了。Jain说他找到了些与几位名人有关的电话号码的个人资料。
Facebook发言人表示,在Facebook切断对用户电话号码的访问之前,这些数据已经被收集。他说:“这个数据集很老了,似乎有我们去年做出改变之前获得的信息,那时就消除了人们使用自己的电话号码找到其他人的能力。数据集已经被删除,我们没有看到Facebook账户被泄露的证据。”
但究竟是谁抓取了这些数据,是什么时候从Facebook上抓取的,以及有何目的?这些问题仍然未找到答案。
Facebook长期以来一直限制开发者访问用户电话号码,该公司还使搜索朋友的电话号码变得更加困难。但是数据似乎在上月底被加载到暴露的数据库中,尽管这并不一定意味着这些数据是新的。
这一最新的数据泄露事件是在没有密码保护的情况下,在线和公开存储的数据被曝光的最新例子。尽管经常与人为错误而不是恶意破坏联系在一起,但数据暴露仍然代表着一个新出现的安全问题。(腾讯科技审校/金鹿)