超过2.67亿的Facebook用户名和电话号码已经暴露在网络上的数据库中,而没有任何密码保护…
如果听起来很熟悉,那是因为同一件事发生在9月份,当时暴露了超过4亿条记录。
这次,至少看起来确实不是Facebook在这次隐私泄露事件中的罪魁祸首,至少不是直接的,正如Comparitech报道的那样。
Comparitech与安全研究员Bob Diachenko合作发现了Elasticsearch集群。迪亚琴科认为,大量数据很可能是越南分子的非法抓取行动或Facebook API滥用滥用的结果。
数据库中包含的信息可用于进行大规模SMS垃圾邮件和网络钓鱼活动,以及对最终用户的其他威胁。
迪亚琴科立即通知互联网服务提供商管理服务器的IP地址,以便可以删除访问。但是,迪亚琴科说,这些数据也被下载到了黑客论坛上。
Facebook用户名数据库至少在12月4日至18日在线。
该报告说,分子可能已经能够通过利用Facebook的安全漏洞来访问数据,或者仅通过从公开了Facebook个人资料的那些人那里抓取数据就可以做到。
罪犯如何获得用户ID和电话号码尚不清楚。一种可能性是,在公司于2018年限制对电话号码的访问之前,数据已从Facebook的开发人员API中窃取。应用程序开发人员使用Facebook的API通过访问用户的个人资料,朋友列表,群组,照片,和事件数据。在2018年之前,第三方开发人员可以使用电话号码。
迪亚琴科说,Facebook的API也可能有一个安全漏洞,即使在访问受到限制后,分子也可以访问用户ID和电话号码。
另一个可能性是,数据根本没有使用Facebook API就被盗了,而是从公开可见的个人资料页面中窃取了。
“抓取”是一个术语,用于描述自动僵尸程序快速筛选大量网页,并将每个网页中的数据复制到数据库中的过程。Facebook和其他社交媒体网站很难阻止抓取,因为它们通常无法分辨合法用户和机器人之间的区别。爬网违反了Facebook以及大多数其他社交网络的服务条款。
许多人的Facebook个人资料可见性设置设为公开,这使得抓取它们变得微不足道。
值得检查一下您的个人资料是否设置为“仅限朋友”:在iOS应用中,点击右下角的汉堡菜单,然后依次点击设置>隐私>隐私设置>检查一些重要设置。
Facebook似乎确实因为错误的原因而成为头条新闻,最近一次是Facebook承认即使用户选择退出也可以访问用户位置。