对于Facebook用户来说,这可能是糟糕的一周。首先,Facebook公司被抓包其要求一些新用户共享用于注册的电子邮件帐户密码,而现在又被爆出新的隐私泄露问题。
1泄露数据来自第三方
近日,网络安全公司UpGuard的研究人员在未受保护的亚马逊云服务器上发现了超过5亿条记录,涉及数百万Facebook用户。暴露的数据集合不是直接来自Facebook。相反,它们是由第三方Facebook应用程序开发人员在线收集和不安全存储的。研究人员今天透露,他们发现了两个数据集合:一个来自一家名为Cultura Colectiva的墨西哥媒体公司,另一个来自一个名为“At the pool”的Facebook集成应用程序。这两个数据集合可以在互联网上公开访问。
Cultura Colectiva收集的数据集合大小超过了146 GB,涉及超过5.4亿条Facebook用户记录,其中包括评论、喜欢、帐户名称,Facebook用户ID等信息。
而属于“At the Pool“应用程序的第二个数据集合包括用户的朋友列表、兴趣、群组和签到位置等信息,此外还包括“22000人的姓名、明文密码和电子邮件地址”。
虽然UpGuard认为数据集合中的明文密码属于“At the Pool”应用程序而非用户的Facebook帐户,但鉴于人们经常为多个应用程序重复使用相同的密码,因此仍存在利用此密码尝试登陆Facebook帐户的风险。没有人知道谁可以访问这些数据以及它暴露给公众的时间长短,因此它目前被认为是一种高安全风险。
UpGuard专家表示,“随着Facebook的数据管理正面临着严格的审查,他们已经努力减少第三方访问。但正如这些曝光数据所显示的那样,此前被第三方访问的数据无法回收。Facebook用户数据信息量之大已远远超出了Facebook所能控制的范围。”
这两个数据集合都存储在不安全的亚马逊S3 buckets中。目前在Upguard、Facebook和媒体联系亚马逊后,这些S3 buckets已经被保护并脱机。
2Facebook泄露用户数据已成常态?
这不是第三方第一次收集或滥用Facebook用户数据,甚至将其泄露给公众的事件也时有发生。
最著名的事件当属剑桥分析公司(Cambridge Analytica)丑闻,这家政治数据分析公司通过一个看似无害的测验应用程序不正当地收集和滥用8700万用户的数据,随后导致Facebook面临50万欧元的欧盟罚款。2018年5月18日,这家曾经受雇于特朗普竞选团队的美国政治咨询公司剑桥分析公司在美国纽约依据《破产法》第七章,向美国曼哈顿联邦破产法院提交破产清算申请。同时,剑桥分析的母公司——SCL Group的美国分公司SCL USA也在当天向同一法院申请破产。
尽管Facebook自那时起就加强了隐私控制,确保第三方应用程序正确使用其访问权限,但Facebook仍然面临着巨大的压力和批评,因为它没有做到为其23亿用户提供更好的隐私和安全保障。
本次事件提醒了公众,尤其是数据维护人员,大规模信息收集的固有问题:数据不会自然消失,废弃的存储位置可能会随时成为“不定时炸弹”。