有消息称,超过2.67亿脸书用户的个人信息被暴露在暗网的一个不安全数据库中。
上周四公布的一份报告显示,网络安全公司Comparitech和研究人员鲍勃·迪亚琴科(Bob Diachenko)在数据库中发现了267140436名用户的脸书 ID丶电话号码和全名,其中大部分人居住在美国。
报告警告说,数据库中标识的人可能成为垃圾邮件或网络钓鱼诈骗的目标。
尽管目前尚不清楚这些敏感信息是如何被曝光的,但迪亚琴科将该数据库追溯到越南,并推测可能是通过一个名为“抓取(scraping)”的非法过程编译的,即自动机器人从脸书个人资料中复制公共信息,或是直接从脸书的开发者API中窃取的。
然而,数据库的访问权限已经被删除,在数据库被发现之前的两周里,似乎任何人在无需密码的情况下就可以随意访问这些记录。一个可下载的数据链接也被发布到一个非常流行的黑客论坛。
该安全漏洞是在9月份发生的大规模信息泄露事件之后发现的,当时有超过4亿个用户的电话号码被曝光,在2018年也发生了重大的信息泄露丑闻。
据透露,特朗普聘用的一家政治AI公司剑桥分析(Cambridge Analytica)在未经数百万人同意的情况下获取了他们的脸书个人资料,并将其用于政治广告。
脸书发言人向每日邮报证实,该数据库已被删除,并表示:“我们正在调查这一问题,但相信这很可能是在过去几年之前被窃取的信息,目前脸书已经采取措施更好地保护人们的信息。”
2018年4月,剑桥分析丑闻发生后,脸书从其API中删除了电话号码信息,这意味着被曝光的数据库中包含的电话号码可能已经超过18个月了。
Comparitech的保罗·比肖夫(Paul Bischoff)报告说,这个数据库在12月4日首次出现在网上。12月12日,这些数据在黑客论坛上被公开分享。
迪亚琴科在12月发现了这个数据库,并立即报告给管理IP地址的互联网服务提供商,因为他怀疑这些数据属于一个犯罪组织。
Comparitech警告说,尽管截至周四,该数据库已无法在线使用,但有可能在被取缔之前已经被复制到其他地方,并指出所有数据似乎都是有效的。
曝光的2.67亿条记录中,每一条都包括全名丶电话号码丶时间戳和唯一的脸书ID。
根据Comparitech的说法,脸书 id是与特定账户相关的唯一公共号码,可用于确定账户的用户名和其他个人资料信息。
比肖夫说,专家们不确定这些信息是如何落入网络窃贼手中的,但他们有自己的怀疑。
第一种可能是黑客在脸书去年限制访问电话号码之前,从脸书的开发者API中窃取了数据。
迪亚琴科说:“脸书的API也可能还存在安全漏洞,即使在访问受到限制后,犯罪分子也可以访问用户ID和电话号码。”
另一种可能性是,网络犯罪分子使用了一种叫做“抓取”的非法程序。这涉及到机器人梳理大量的网页,并在这个过程中复制数据。
比肖夫写道:“这么大的数据库可能会被用于钓鱼和垃圾邮件,特别是通过短信,脸书用户应该警惕可疑短信。”
“即使发信人知道你的名字或你的一些基本信息,也要对任何来路不明的信息保持怀疑。”
Comparitech建议用户通过收紧安全设置来限制对公众可见的信息量,从而降低在未来数据泄露中成为攻击目标的风险。
在过去的一年里,脸书还遭遇了其他一些数据泄露事件。今年9月,一个拥有4亿多用户个人信息的类似数据库被发现。
这家社交媒体巨头在2018年因向剑桥分析公司提供8700万用户的信息而遭到抨击。这些用户中只有27万人给予了共享数据的许可。
剑桥分析公司随后将这些信息用于政治广告目的,因为这有助于他们设计能够预测和影响选民在投票箱中的选择的软件。
不过,该大学中心确实起诉了脸书首席执行官马克·扎克伯格(Mark Zuckerberg)诽谤,理由是该事件浮出水面时,脸书将他们当作“替罪羊”。
剑桥大学的研究员科根(Aleksandr Kogan)是一款帮助从脸书用户那里获取数据的应用程序的幕后推手。
他将社交媒体创始人扎克伯格告上法庭,此前脸书称他在将如何使用这些数据的问题上撒了谎。
扎克伯格和其他高管表示,科根告诉他们,这些数据是出于学术目的,而不是政治活动。
然而,就在四个月前,又发生了一次大规模泄漏。
9月份,有超过4亿个脸书账户的电话号码被公布在网上。
根据科技博客TechCrunch的数据,1.33亿个美国账户,5000多万个越南账户,1800万个英国账户,这些账户在一个没有密码保护的开放在线服务器上留下了共4.19亿条记录。
据发现该数据库的人说,这些信息中还包括一些名人的资料和电话号码。
脸书确实证实了这一报告,但表示,由于重复输入问题,总人数可能只有曝光数据的一半左右。
相关主题
