社交账号登录

社交账号登录

0/34

上传头像

拖拽或者缩放虚线框,生成自己满意的头像

头像

预览

忘记密码

设置新密码

智能

Facebook 向第三方共享数据,却没有持续保护数据安全

罗骢2019-04-07 06:40:36

和剑桥分析公司事件类似,又是一次 Facebook 向第三方提供用户数据惹的祸。

4 月 4 日,网络安全公司 UpGuard 的研究人员发现, Facebook 第三方合作商在亚马逊的网盘服务中上传了大量 Facebook 用户信息。信息处于公开未加密状态。UpGuard 下载分析后发现涉及到 5.4 亿数据,其中有数百万条为 Facebook 用户隐私。

根据 UpGuard 的报告,该公司在亚马逊简易存储服务 Amazon S3 上发现数百万条公开的 Facebook 用户数据,包括用户识别号码,用户姓名,点赞,评论等数据,并未出现密码、信用卡账号或者身份号码等数据。

大部分数据由墨西哥城的数字媒体公司 Cultura Colectiva 上传,另一个名为“At the Pool”的Facebook 集成应用程序则上传了 22 万名用户的姓名和邮箱信息,该公司目前已经倒闭。

亚马逊简易存储服务 Amazon S3 是亚马逊基础的数据储存服务,本质上就是网盘。Cultura Colectiva 和 At the Pool 公司上传数据后并未进行加密处理,是导致此次泄密的原因。

但最根本的原因还是 Facebook 向第三方共享数据,却没有持续保护数据后续安全。泄密信息的这两家公司都是和 Facebook 合作的第三方开发商。Facebook 多年来允许任何在其网站上开发第三方应用程序的人获取用户数据,直到 2018 年发生剑桥分析事件爆发。

2018 年 3 月,媒体报道称 Facebook 开发商剑桥分析公司通过 Facebook 获取了 5000 万用户数据,并在 2016 总统大选期间针对这些人进行定向宣传,影响大选结果。

此后对于 Facebook 滥用用户隐私数据的指责频频爆出。在这次泄密事件发生后 Facebook 回应称,“第三方开发者的确未能妥善保存用户数据,Facebook 政策明确禁止在不安全的地点存储从 Facebook 获得的信息,一被告知这个问题,公司便与亚马逊合作删除了数据库。尚没有证据表明数据被滥用,但正在调查。”

此次用户记录曝光突显出这样的事实:Facebook 和合作伙伴能够收集大量用户数据,但他们并不能充分保护这些信息,Facebook 则任由第三方负责保证这些数据的安全。

UpGuard 网络风险研究主管克里斯-维克里(Chris Vickery)表示:“公众还没有意识到,这些高级系统管理员和开发人员,也就是这些数据的保管人,要么在冒险,要么在偷懒,要么在投机取巧。对大数据安全方面的关注不够。”

剑桥分析丑闻之后,Facebook 开始对数千个应用程序进行审查,确保开放商没有对用户数据进行不当处理。但依然未发现这次数据泄漏的服务器。

UpGuard 表示还有 10 万个类似的公开数据库。一部分第三方公司获取用户数据后并没有进行严格的保管。此次泄密的两个账户内数据已经被亚马逊删除。

亚马逊试图撇清责任,在回应中称用户拥有 S3 网盘中文件公开或加密的控制权,但本次泄密是因为用户没有进行设置。但《时代》杂志认为,亚马逊应该针对上传到该平台的敏感信息主动作出保护。近几年,安全研究人员已经在网盘中发现包括美国军事数据,手机用户信息,报纸订阅用户信息等多项私密数据。亚马逊在云服务和数据储存方面处于领先地位。

本次泄漏事件发生后, 一度涨到近八个月最高的 Facebook 股价转跌 1%。投资者担心 Facebook 又爆发一轮隐私事件。

就在两周前,网络安全记者 Brian Krebs 发布报告称,Facebook 存储了多达 6 亿个没有加密的用户帐户密码。这些账户密码可以作为明文数据,可以供 Facebook 进行查阅。

Facebook在一篇博文中证实了这一报道,不过没有说明有多少用户受到影响。

题图来源:techcrunch

喜欢这篇文章?去 App 商店搜 好奇心日报 ,每天看点不一样的。