Facebook曝重大安全漏洞 4億多條用戶資料記錄曝光

時(shí)間：2019-09-23 12:52:01

關(guān)鍵字： facebook 安全漏洞用戶資料

手機(jī)看文章

掃描二維碼
隨時(shí)隨地手機(jī)看文章

[導(dǎo)讀]9月5日消息，據(jù)外媒報(bào)道，社交媒體巨頭Facebook最近的隱私漏洞暴露了一臺(tái)沒(méi)有密碼保護(hù)的服務(wù)器上4億多條用戶記錄，每條記錄都包含一個(gè)用戶的Facebook ID和連接到他們賬戶的電話號(hào)碼。暴露的

9月5日消息，據(jù)外媒報(bào)道，社交媒體巨頭Facebook最近的隱私漏洞暴露了一臺(tái)沒(méi)有密碼保護(hù)的服務(wù)器上4億多條用戶記錄，每條記錄都包含一個(gè)用戶的Facebook ID和連接到他們賬戶的電話號(hào)碼。

暴露的服務(wù)器包含多個(gè)數(shù)據(jù)庫(kù)中的記錄，涉及不同地理位置的用戶，其中包括美國(guó)Facebook用戶的1.33億條記錄，英國(guó)1800萬(wàn)條用戶記錄，以及超過(guò)5000萬(wàn)條越南用戶記錄等。由于服務(wù)器沒(méi)有密碼保護(hù)，任何人都可以找到并訪問(wèn)這些數(shù)據(jù)庫(kù)。

用戶的Facebook ID通常是與他們的帳戶相關(guān)聯(lián)的唯一公共數(shù)字，可以很容易地用來(lái)識(shí)別帳戶的用戶名。但自從Facebook限制訪問(wèn)用戶的電話號(hào)碼以來(lái)，這些信息已經(jīng)有一年多沒(méi)有公開(kāi)過(guò)了。

美國(guó)媒體通過(guò)將已知Facebook用戶的電話號(hào)碼與其列出的Facebook ID進(jìn)行匹配來(lái)驗(yàn)證數(shù)據(jù)庫(kù)中的多條記錄。此外，他們還通過(guò)將電話號(hào)碼與Facebook自己的密碼重置功能進(jìn)行匹配來(lái)檢查其他記錄，該功能可用于部分揭示用戶與其帳戶相關(guān)聯(lián)的電話號(hào)碼。

有些記錄還包含用戶的姓名、性別和國(guó)家/地區(qū)的位置。比如來(lái)自英國(guó)數(shù)據(jù)庫(kù)的一組經(jīng)過(guò)編輯的記錄，“44”表示+44，這是英國(guó)的國(guó)家代碼，“7”則表示手機(jī)號(hào)碼。

這是自劍橋分析公司(Cambridge Analytica)濫用數(shù)據(jù)丑聞以來(lái)Facebook曝出的最新數(shù)據(jù)安全漏洞。在2016年美國(guó)總統(tǒng)大選中，超過(guò)8000萬(wàn)人的個(gè)人資料被抓取，以幫助識(shí)別搖擺不定的選民。

自那以后，該公司發(fā)生了幾起備受矚目的抓取事件，包括Instagram，該公司最近承認(rèn)有大量的個(gè)人資料被抓取。

這起最新事件僅僅通過(guò)Facebook ID就暴露了數(shù)億用戶的電話號(hào)碼，使他們面臨垃圾電話和SIM交換攻擊的風(fēng)險(xiǎn)，這種攻擊依賴于欺騙手機(jī)運(yùn)營(yíng)商將某人的電話號(hào)碼提供給攻擊者。利用他人的電話號(hào)碼，攻擊者可以強(qiáng)制重置與該號(hào)碼關(guān)聯(lián)的任何互聯(lián)網(wǎng)帳戶的密碼。

安全研究員、GDI基金會(huì)成員Sanyam Jain找到了數(shù)據(jù)庫(kù)，在找不到所有者后聯(lián)系了媒體。在瀏覽了上面的數(shù)據(jù)之后，他們找到了網(wǎng)絡(luò)主機(jī)，隨后數(shù)據(jù)庫(kù)被拉離線了。Jain說(shuō)他找到了些與幾位名人有關(guān)的電話號(hào)碼的個(gè)人資料。

Facebook發(fā)言人表示，在Facebook切斷對(duì)用戶電話號(hào)碼的訪問(wèn)之前，這些數(shù)據(jù)已經(jīng)被收集。他說(shuō)：“這個(gè)數(shù)據(jù)集很老了，似乎有我們?nèi)ツ曜龀龈淖冎矮@得的信息，那時(shí)就消除了人們使用自己的電話號(hào)碼找到其他人的能力。數(shù)據(jù)集已經(jīng)被刪除，我們沒(méi)有看到Facebook賬戶被泄露的證據(jù)?！?/p>

但究竟是誰(shuí)抓取了這些數(shù)據(jù)，是什么時(shí)候從Facebook上抓取的，以及有何目的？這些問(wèn)題仍然未找到答案。

Facebook長(zhǎng)期以來(lái)一直限制開(kāi)發(fā)者訪問(wèn)用戶電話號(hào)碼，該公司還使搜索朋友的電話號(hào)碼變得更加困難。但是數(shù)據(jù)似乎在上月底被加載到暴露的數(shù)據(jù)庫(kù)中，盡管這并不一定意味著這些數(shù)據(jù)是新的。

這一最新的數(shù)據(jù)泄露事件是在沒(méi)有密碼保護(hù)的情況下，在線和公開(kāi)存儲(chǔ)的數(shù)據(jù)被曝光的最新例子。盡管經(jīng)常與人為錯(cuò)誤而不是惡意破壞聯(lián)系在一起，但數(shù)據(jù)暴露仍然代表著一個(gè)新出現(xiàn)的安全問(wèn)題。（騰訊科技審校/金鹿）