吳明宜2018 年劍橋分析 (Cambridge Analytica) 濫用用戶個資 8700 萬筆醜聞記憶猶新,上周臉書再傳出 5.33 億用戶個資外洩。但臉書說,這是臉書一項協助用戶的功能遭惡意利用的結果。
上周 Business Insider 報導,安全公司 Hudson Rock 技術長 Alon Gal 發現大批臉書用戶資料被免費張貼在在地下論壇,公開的個資包括用戶全名、電話、臉書 ID 、生日、住址及個人簡歷,有的還有電子郵件信箱。這些資料經驗證為真且許多仍然有效,資料總數高達 5.33 億,用戶來自 106 個國家,其中以美國 3200 萬、英國 1100 萬及印度 600 萬為最多。
上周臉書第一時間回應,這並非新的資料外洩事件,早在 2019 年就有媒體報導,而且該公司於 2019 年 8 月就已經解決。根據臉書向歐盟提供的資訊,資料外洩時間發生在 2017 年到 2018 年之間,是在歐盟隱私法 GDPR 上路之前,因此臉書當時選擇不公開此事,也未通報用戶。
歐盟本周表示,將再調查上周被張貼的資料是否與 3 年多前外洩的是同一批,還是有新外洩的資料。
周三臉書終於發出正式聲明。臉書表示,外洩資料是利用大量電話號碼連結臉書帳號的大量資料抓取 (bulk scraping) 行為,而非臉書平台被駭。
臉書相信,駭客是濫用了臉書「聯絡人匯入器」(contact importer) 功能,而從用戶資料頁上抓取到這些資料。聯絡人匯入器可協助使用者更容易找到他們的朋友。惡意人士以軟體模仿臉書 app,並上傳大量電話號碼以比對出符合的臉書用戶。
臉書產品副總裁 Mike Clark 指出,這是詐欺者蓄意破壞禁止抓取網路服務的平台政策最新例子。 Clark 指出,該公司 2019 年發現這項功能被濫用後已經做了調整。在此之前,任何人都可以用臉書 app 查詢,取得一定的公開資料。他們相信經過調整後,問題已未再發生。
安全專家不買單
臉書定調,這次資料外洩是一種網頁抓取行為;是臉書幫助用戶的功能遭惡意人士利用造成。不過並不是所有專家都滿意臉書的答案。
安全專家 John Opdenakker 認為臉書的回應很可悲。主持 Have I Been Pwned 服務的資料安全專家 Troy Hunt 也認為臉書態度相當推諉塞責。
而首先發現 5.33 億筆資料外洩的 Gal 則認為,這次事件是對用戶資料的「絕對疏忽」。
臉書用戶可以利用 Have I Been Zucked? 及 Have I Been Pwned 等外洩監控服務輸入臉書電子郵件或電話號碼,查詢他們的個資是否外洩。