臉書傳遭聯絡人匯入漏洞而外洩5.33億用戶個資

2018年劍橋分析(Cambridge Analytica)濫用用戶個資8700萬筆醜聞記憶猶新,上周臉書再傳出5.33億用戶個資外洩。但臉書說,這是臉書一項協助用戶的功能遭惡意利用的結果。

2018年劍橋分析(Cambridge Analytica)濫用用戶個資8700萬筆醜聞記憶猶新,上周臉書再傳出5.33億用戶個資外洩。但臉書說,這是臉書一項協助用戶的功能遭惡意利用的結果。

上周Business Insider報導,安全公司Hudson Rock技術長Alon Gal發現大批臉書用戶資料被免費張貼在在地下論壇,公開的個資包括用戶全名、電話、臉書ID、生日、住址及個人簡歷,有的還有電子郵件信箱。這些資料經驗證為真且許多仍然有效,資料總數高達5.33億,用戶來自106個國家,其中以美國3200萬、英國1100萬及印度600萬為最多。

在駭客論壇上遭到公開的Facebook外洩資料

上周臉書第一時間回應,這並非新的資料外洩事件,早在2019年就有媒體報導,而且該公司於2019年8月就已經解決。根據臉書向歐盟提供的資訊,資料外洩時間發生在2017年到2018年之間,是在歐盟隱私法GDPR上路之前,因此臉書當時選擇不公開此事,也未通報用戶。

歐盟本周表示,將再調查上周被張貼的資料是否與3年多前外洩的是同一批,還是有新外洩的資料。

周三臉書終於發出正式聲明。臉書表示,外洩資料是利用大量電話號碼連結臉書帳號的大量資料抓取(bulk scraping) 行為,而非臉書平台被駭。

臉書相信,駭客是濫用了臉書「聯絡人匯入器」(contact importer) 功能,而從用戶資料頁上抓取到這些資料。聯絡人匯入器可協助使用者更容易找到他們的朋友。惡意人士以軟體模仿臉書app,並上傳大量電話號碼以比對出符合的臉書用戶。

臉書產品副總裁 Mike Clark指出,這是詐欺者蓄意破壞禁止抓取網路服務的平台政策最新例子。Clark指出,該公司2019年發現這項功能被濫用後已經做了調整。在此之前,任何人都可以用臉書app查詢,取得一定的公開資料。他們相信經過調整後,問題已未再發生。

安全專家不買單

臉書定調,這次資料外洩是一種網頁抓取行為;是臉書幫助用戶的功能遭惡意人士利用造成。不過並不是所有專家都滿意臉書的答案。

安全專家John Opdenakker認為臉書的回應很可悲。主持Have I Been Pwned服務的資料安全專家Troy Hunt也認為臉書態度相當推諉塞責。

而首先發現5.33億筆資料外洩的Gal則認為,這次事件是對用戶資料的「絕對疏忽」。

臉書用戶可以利用Have I Been Zucked?Have I Been Pwned等外洩監控服務輸入臉書電子郵件或電話號碼,查詢他們的個資是否外洩。

來源:BleepingComputer

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416