Facebook曝重大安全漏洞 4億多條用戶資料記錄曝光

9月5日消息，據(jù)外媒報道，社交媒體巨頭Facebook最近的隱私漏洞暴露了一臺沒有密碼保護的服務(wù)器上4億多條用戶記錄，每條記錄都包含一個用戶的Facebook ID和連接到他們賬戶的電話號碼。

暴露的服務(wù)器包含多個數(shù)據(jù)庫中的記錄，涉及不同地理位置的用戶，其中包括美國Facebook用戶的1.33億條記錄，英國1800萬條用戶記錄，以及超過5000萬條越南用戶記錄等。由于服務(wù)器沒有密碼保護，任何人都可以找到并訪問這些數(shù)據(jù)庫。

用戶的Facebook ID通常是與他們的帳戶相關(guān)聯(lián)的唯一公共數(shù)字，可以很容易地用來識別帳戶的用戶名。但自從Facebook限制訪問用戶的電話號碼以來，這些信息已經(jīng)有一年多沒有公開過了。

美國媒體通過將已知Facebook用戶的電話號碼與其列出的Facebook ID進行匹配來驗證數(shù)據(jù)庫中的多條記錄。此外，他們還通過將電話號碼與Facebook自己的密碼重置功能進行匹配來檢查其他記錄，該功能可用于部分揭示用戶與其帳戶相關(guān)聯(lián)的電話號碼。

有些記錄還包含用戶的姓名、性別和國家/地區(qū)的位置。比如來自英國數(shù)據(jù)庫的一組經(jīng)過編輯的記錄，“44”表示+44，這是英國的國家代碼，“7”則表示手機號碼。

這是自劍橋分析公司(Cambridge Analytica)濫用數(shù)據(jù)丑聞以來Facebook曝出的最新數(shù)據(jù)安全漏洞。在2016年美國總統(tǒng)大選中，超過8000萬人的個人資料被抓取，以幫助識別搖擺不定的選民。

自那以后，該公司發(fā)生了幾起備受矚目的抓取事件，包括Instagram，該公司最近承認(rèn)有大量的個人資料被抓取。

這起最新事件僅僅通過Facebook ID就暴露了數(shù)億用戶的電話號碼，使他們面臨垃圾電話和SIM交換攻擊的風(fēng)險，這種攻擊依賴于欺騙手機運營商將某人的電話號碼提供給攻擊者。利用他人的電話號碼，攻擊者可以強制重置與該號碼關(guān)聯(lián)的任何互聯(lián)網(wǎng)帳戶的密碼。

安全研究員、GDI基金會成員Sanyam Jain找到了數(shù)據(jù)庫，在找不到所有者后聯(lián)系了媒體。在瀏覽了上面的數(shù)據(jù)之后，他們找到了網(wǎng)絡(luò)主機，隨后數(shù)據(jù)庫被拉離線了。Jain說他找到了些與幾位名人有關(guān)的電話號碼的個人資料。

Facebook發(fā)言人表示，在Facebook切斷對用戶電話號碼的訪問之前，這些數(shù)據(jù)已經(jīng)被收集。他說：“這個數(shù)據(jù)集很老了，似乎有我們?nèi)ツ曜龀龈淖冎矮@得的信息，那時就消除了人們使用自己的電話號碼找到其他人的能力。數(shù)據(jù)集已經(jīng)被刪除，我們沒有看到Facebook賬戶被泄露的證據(jù)。”

但究竟是誰抓取了這些數(shù)據(jù)，是什么時候從Facebook上抓取的，以及有何目的？這些問題仍然未找到答案。

Facebook長期以來一直限制開發(fā)者訪問用戶電話號碼，該公司還使搜索朋友的電話號碼變得更加困難。但是數(shù)據(jù)似乎在上月底被加載到暴露的數(shù)據(jù)庫中，盡管這并不一定意味著這些數(shù)據(jù)是新的。

這一最新的數(shù)據(jù)泄露事件是在沒有密碼保護的情況下，在線和公開存儲的數(shù)據(jù)被曝光的最新例子。盡管經(jīng)常與人為錯誤而不是惡意破壞聯(lián)系在一起，但數(shù)據(jù)暴露仍然代表著一個新出現(xiàn)的安全問題。（騰訊科技審校/金鹿）