继剑桥分析丑闻之后, Facebook又被曝光一起重大数据泄露事件。
据英国《每日邮报》报道,当地时间12月19日,一个包含超过2.67亿Facebook用户ID、姓名以及电话号码等信息的网络数据库被公开,有两周时间它可以被任何人访问,也曾被发布在黑客论坛上。Facebook发言人表示,目前该数据库已经被摧毁。
网络安全公司Comparitech的研究员Bob Diachenko最早在暗网上发现了该数据库。该数据库包含了267140436条记录,每条记录包括Facebook用户的ID、姓名以及电话号码等个人信息,且受影响的大多数用户来自美国。其中,Facebook ID是与特定账户相关的唯一公共号码,可以用来识别账户的用户名和其他简介信息。
Diachenko称,该数据库于12月4日首次在网络上出现,于12日在黑客论坛上被公开共享,19日起不能再使用。Diachenko发现该数据库后,立即向管理IP地址的互联网服务提供商发送了滥用报告。
尽管尚不清楚这些信息是如何被公开的,但Diachenko在追溯该数据库时最终追溯到了越南。Diachenko表示,Facebook的API(应用程序接口)也可能存在一个安全漏洞,允许犯罪分子即使在访问受到限制后也能访问用户的ID和电话号码。
他还猜测到,这些数据还可能是在没有使用Facebook API的情况下被窃取的。由于很多人将Facebook的个人资料设置为public(公开可见),因此恶意分子可以通过“抓取(Scraping)”的方式,利用自动机器人快速筛选大量网页,将数据从每个网页复制到数据库中。
Facebook发言人向《每日邮报》证实,目前该数据库已经被摧毁,“我们正在调查此问题。我们认为这些信息极有可能是在我们调整之前收集的。” 2018年4月剑桥分析丑闻之后,Facebook开始限制访问电话号码,这些数据可能是被Facebook禁用的工具收集的。
据悉,同样的情况还发生在今年9月,存储了4.19亿条与Facebook账户关联的电话号码数据库同样被曝光。Facebook发言人当时表示,实际上被泄露的用户数据大约是2.1亿,因为4.19亿数据中有很多重复。据外媒报道,2018年4月以前Facebook允许用户通过电话号码搜索别的用户,这看似是一个良性工具,但其实个人的数据也很容易被抓取工具劫持。
此外,Comparitech公司表示,这样庞大的数据库很可能会被应用于网络钓鱼或者垃圾邮件,Facebook用户应该留意可疑短信。所以,该公司也提示Facebook用户,即使发信人知道你的名字或者你的一些基本信息,也要对任何未经证实的信息持怀疑态度。