我们该从Facebook史上最大数据泄露事件中明白什么?

安全
从笔者角度来看,尽管把数据泄露这件事的锅甩给Facebook并不完全合适,因为这是一个用户数据信息使用边界的问题。

人们对这家社交巨头最新的态度可从其最近两天的股价上一览无遗:美东时间3月19日,Facebook因受数据泄露一事影响,股价跌去近6.8%;美东时间3月20日,Facebook股价又再次下跌,盘中最大跌幅高达5.8%,最终以跌幅2.56%收盘,市值跌破5000亿美元。

[[224270]]

尽管如此,Facebook高管仍然不认为这是数据泄露,他们在Twitter上表示:

这绝对不是数据泄露。人们选择与第三方应用程序共享他们的数据,如果这些第三方应用程序没有遵循与我们/用户的数据协议,那就是违约行为。没有系统被渗透,没有密码或信息被窃取或被黑客入侵。

Facebook高管尽管给出了他们眼中的事实,现实却往严峻的那一面发展。

数据泄露曝光后,剑桥分析(Cambridge Analytica)公司的CEO Alexander Nix被董事会宣布停职接受调查、Facebook的首席信息安全官Alex Stamos也就此提出了离职。

此外,美FTC开始跟进Facebook数据泄露一事,调查Facebook是否违反了2011年的和解令。据悉,和解令每违反一次,可判处40000美元罚款。有媒体指出,这意味着,如果确实有5000万Facebook用户的数据被泄露的话,Facebook理论上可能会被判处2万亿美元的罚款。

除了美国本土进行的调查之外,英国的国会议员也已经正式要求扎克伯格针对此事来国会接受质询;而欧洲议会主席塔亚尼表示,欧盟议员将调查逾5000万名Facebook用户的数据是否被不当使用。

Facebook信息泄露的根源是什么?

美著名分析师Ben Thompson给出了自己的答案,他在《THE FACEBOOK BRAND》一文中指出,Facebook数据泄露的根源归结于2010年的那场F8大会。

在2010年F8开发者大会上,Facebook推出了Open Graph。为什么要推出这个产品呢?究竟有何用?我们首先从Facebook的当时处境谈起。

Facebook虽然是社交公司,但本质却和谷歌一样,是一家广告公司,然而相对于谷歌而言,那时Facebook的体量小的很多——只有4亿用户,而且还没上市。

作为一家广告公司,数据和用户非常重要,那如何获取呢?Facebook开始效仿谷歌——因为连接的关系,谷歌可以从Web任意获取数据,因此Facebook推出了Social Graph,构建了庞大的数字化关系网获取更多用户。

Facebook的开发者页面上显示给予第三方应用程序的所有数据

Facebook的开发者页面上显示给予第三方应用程序的所有数据

为了推动数据交换,Facebook推出了Graph API,后来又引入了图形API……问题的根源就这样一步一步植入下来。

由于社交属性的缘故,一位用户可以连接多位用户,因此一位用户泄露,那么也会泄露他们朋友的信息——这正是被剑桥分析公司利用的地方,通过27万名调查对象,访问了5000万Facebook用户的数据,并用其数据分析实现自己的政治目的:

2014年至2015年期间邀请Facebook用户参加性格测试,并下载了一个手机App,以此为由获取广大用户的个人信息,并利用算法获取投放广告的用户信息,其中包括Facebook用户的身份、朋友关系网和“赞”过的内容,向这些用户进行“精准营销”。

在问题被曝光之前,Facebook根本就没意识到隐患。似乎嫌这样的数据交换还不够,在2018年举行F8的时候,Facebook又大幅放宽了以下的服务条款:

我们有这样的一个政策:你不能储存或缓存数据超过24小时,我们将继续努力并去除这项政策。所以现在,如果有人访问你的网站,并且授予你访问其信息的权限,你就可以存储了。没有必要日复一日地完成相同的API调用了。不再需要构建不同的代码路径来处理Facebook用户与您共享的信息了。我们认为这一步将使Facebook平台的建设更加简单。

我们该明白什么?

从笔者角度来看,尽管把数据泄露这件事的锅甩给Facebook并不完全合适,因为这是一个用户数据信息使用边界的问题。

  • 但Facebook能否在数据安全上做的更多,比如说:
  • 平台是不是应该进一步让用户认识到数据隐私的重要性?
  • 平台开放的API接口给到的数据应该是什么样的一个度?是否不同背景、不同信用等级的开发商给到的数据都有所不同?
  • 开发商应用数据的边界应该限制在什么样的一个范围内?
  • 技术层面,当有人大规模收集、扫描和调用数据时,是否也可以建立一些应急机制,调查是否合理……

数据是未来最大的资产,是21世纪的石油,用好数据不仅可以提高企业自己的产品和服务,也可以攫取大量利润。一旦没有守好数据,那么很有可能成为下一个负面信息的主角。

这是一个互联,且不断保持“在线”的社会,用户不共享自己的数据几乎是不可能的事情,因此法律法规终将完善这一块。

提前设置好边界、做好规则,将是企业发展中最重要的一步。

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2021-02-02 11:18:52

数据泄露网络攻击漏洞

2022-09-27 10:04:24

数据泄露网络安全

2014-04-16 13:34:19

Facebook数据中心

2021-06-17 13:40:56

数据泄露漏洞信息安全

2013-06-14 09:35:19

Facebook数据中心散热

2016-05-30 12:08:14

2018-03-24 17:13:54

2019-07-15 14:52:01

Facebook信息泄露隐私

2017-10-20 11:34:54

2021-04-21 19:09:01

Facebook数据泄露黑客

2015-02-10 14:44:55

2018-12-18 10:35:56

2013-11-28 16:41:13

2013-11-28 10:56:05

2022-09-19 07:00:53

数据泄露协议

2021-11-30 09:11:48

数据泄露勒索软件攻击

2018-03-27 09:04:58

数据安全Facebook

2018-08-02 14:56:19

2016-12-27 19:08:12

2016-11-04 23:12:49

点赞
收藏

51CTO技术栈公众号