FB曝重大安全漏洞 4億多條用戶資料記錄曝光

騰訊科技訊 9月5日消息，據外媒報導，社交媒體巨頭Facebook最近的隱私漏洞暴露了一台沒有密碼保護的伺服器上4億多條用戶記錄，每條記錄都包含一個用戶的Facebook ID和連接到他們账戶的電話號碼。

暴露的伺服器包含多個數據庫中的記錄，涉及不同地理位置的用戶，其中包括美國Facebook用戶的1.33億條記錄，英國1800萬條用戶記錄，以及超過5000萬條越南用戶記錄等。由於伺服器沒有密碼保護，任何人都可以找到並訪問這些數據庫。

用戶的Facebook ID通常是與他們的帳戶相關聯的唯一公共數字，可以很容易地用來識別帳戶的用戶名。但自從Facebook限制訪問用戶的電話號碼以來，這些信息已經有一年多沒有公開過了。

美國媒體通過將已知Facebook用戶的電話號碼與其列出的Facebook ID進行匹配來驗證數據庫中的多條記錄。此外，他們還通過將電話號碼與Facebook自己的密碼重置功能進行匹配來檢查其他記錄，該功能可用於部分揭示用戶與其帳戶相關聯的電話號碼。

有些記錄還包含用戶的姓名、性別和國家/地區的位置。比如來自英國數據庫的一組經過編輯的記錄，“44”表示+44，這是英國的國家代碼，“7”則表示手機號碼。

這是自劍橋分析公司(Cambridge Analytica)濫用數據醜聞以來Facebook曝出的最新數據安全漏洞。在2016年美國總統大選中，超過8000萬人的個人資料被抓取，以幫助識別搖擺不定的選民。

自那以後，該公司發生了幾起備受矚目的抓取事件，包括Instagram，該公司最近承認有大量的個人資料被抓取。

這起最新事件僅僅通過Facebook ID就暴露了數億用戶的電話號碼，使他們面臨垃圾電話和SIM交換攻擊的風險，這種攻擊依賴於欺騙手機運營商將某人的電話號碼提供給攻擊者。利用他人的電話號碼，攻擊者可以強製重置與該號碼關聯的任何互聯網帳戶的密碼。

安全研究員、GDI基金會成員Sanyam Jain找到了數據庫，在找不到所有者後聯繫了媒體。在瀏覽了上面的數據之後，他們找到了網絡主機，隨後數據庫被拉離線了。Jain說他找到了些與幾位名人有關的電話號碼的個人資料。

Facebook發言人表示，在Facebook切斷對用戶電話號碼的訪問之前，這些數據已經被收集。他說：“這個數據集很老了，似乎有我們去年做出改變之前獲得的信息，那時就消除了人們使用自己的電話號碼找到其他人的能力。數據集已經被刪除，我們沒有看到Facebook账戶被洩露的證據。”

但究竟是誰抓取了這些數據，是什麽時候從Facebook上抓取的，以及有何目的？這些問題仍然未找到答案。

Facebook長期以來一直限制開發者訪問用戶電話號碼，該公司還使搜索朋友的電話號碼變得更加困難。但是數據似乎在上月底被加載到暴露的數據庫中，儘管這並不一定意味著這些數據是新的。

這一最新的數據洩露事件是在沒有密碼保護的情況下，在線和公開存儲的數據被曝光的最新例子。儘管經常與人為錯誤而不是惡意破壞聯繫在一起，但數據暴露仍然代表著一個新出現的安全問題。（騰訊科技審校/金鹿）