臉書傳遭聯絡人匯入漏洞而外洩5.33億用戶個資

2018年劍橋分析(Cambridge Analytica)濫用用戶個資8700萬筆醜聞記憶猶新，上周臉書再傳出5.33億用戶個資外洩。但臉書說，這是臉書一項協助用戶的功能遭惡意利用的結果。

上周Business Insider報導，安全公司Hudson Rock技術長Alon Gal發現大批臉書用戶資料被免費張貼在在地下論壇，公開的個資包括用戶全名、電話、臉書ID、生日、住址及個人簡歷，有的還有電子郵件信箱。這些資料經驗證為真且許多仍然有效，資料總數高達5.33億，用戶來自106個國家，其中以美國3200萬、英國1100萬及印度600萬為最多。

上周臉書第一時間回應，這並非新的資料外洩事件，早在2019年就有媒體報導，而且該公司於2019年8月就已經解決。根據臉書向歐盟提供的資訊，資料外洩時間發生在2017年到2018年之間，是在歐盟隱私法GDPR上路之前，因此臉書當時選擇不公開此事，也未通報用戶。

歐盟本周表示，將再調查上周被張貼的資料是否與3年多前外洩的是同一批，還是有新外洩的資料。

周三臉書終於發出正式聲明。臉書表示，外洩資料是利用大量電話號碼連結臉書帳號的大量資料抓取(bulk scraping) 行為，而非臉書平台被駭。

臉書相信，駭客是濫用了臉書「聯絡人匯入器」(contact importer) 功能，而從用戶資料頁上抓取到這些資料。聯絡人匯入器可協助使用者更容易找到他們的朋友。惡意人士以軟體模仿臉書app，並上傳大量電話號碼以比對出符合的臉書用戶。

臉書產品副總裁 Mike Clark指出，這是詐欺者蓄意破壞禁止抓取網路服務的平台政策最新例子。Clark指出，該公司2019年發現這項功能被濫用後已經做了調整。在此之前，任何人都可以用臉書app查詢，取得一定的公開資料。他們相信經過調整後，問題已未再發生。

安全專家不買單

臉書定調，這次資料外洩是一種網頁抓取行為；是臉書幫助用戶的功能遭惡意人士利用造成。不過並不是所有專家都滿意臉書的答案。

安全專家John Opdenakker認為臉書的回應很可悲。主持Have I Been Pwned服務的資料安全專家Troy Hunt也認為臉書態度相當推諉塞責。

而首先發現5.33億筆資料外洩的Gal則認為，這次事件是對用戶資料的「絕對疏忽」。

臉書用戶可以利用Have I Been Zucked?及Have I Been Pwned等外洩監控服務輸入臉書電子郵件或電話號碼，查詢他們的個資是否外洩。

來源：BleepingComputer