Facebook 向第三方共享数据,却没有持续保护数据安全

好奇心日报 7月前 ⋅ 53 阅读

4 月 4 日,网络安全公司 UpGuard 的研究人员发现, Facebook 第三方合作商在亚马逊的网盘服务中上传了大量 Facebook 用户信息。信息处于公开未加密状态。UpGuard 下载分析后发现涉及到 5.4 亿数据,其中有数百万条为 Facebook 用户隐私。

根据 UpGuard 的报告,该公司在亚马逊简易存储服务 Amazon S3 上发现数百万条公开的 Facebook 用户数据,包括用户识别号码,用户姓名,点赞,评论等数据,并未出现密码、信用卡账号或者身份号码等数据。

大部分数据由墨西哥城的数字媒体公司 Cultura Colectiva 上传,另一个名为 'At the Pool' 的 Facebook 集成应用程序则上传了 22 万名用户的姓名和邮箱信息,该公司目前已经倒闭。

亚马逊简易存储服务 Amazon S3 是亚马逊基础的数据储存服务,本质上就是网盘。Cultura Colectiva 和 At the Pool 公司上传数据后并未进行加密处理,是导致此次泄密的原因。

但最根本的原因还是 Facebook 向第三方共享数据,却没有持续保护数据后续安全。泄密信息的这两家公司都是和 Facebook 合作的第三方开发商。Facebook 多年来允许任何在其网站上开发第三方应用程序的人获取用户数据,直到 2018 年发生剑桥分析事件爆发。

2018 年 3 月,媒体报道称 Facebook 开发商剑桥分析公司通过 Facebook 获取了 5000 万用户数据,并在 2016 总统大选期间针对这些人进行定向宣传,影响大选结果。

此后对于 Facebook 滥用用户隐私数据的指责频频爆出。在这次泄密事件发生后 Facebook 回应称,' 第三方开发者的确未能妥善保存用户数据,Facebook 政策明确禁止在不安全的地点存储从 Facebook 获得的信息,一被告知这个问题,公司便与亚马逊合作删除了数据库。尚没有证据表明数据被滥用,但正在调查。'

此次用户记录曝光突显出这样的事实:Facebook 和合作伙伴能够收集大量用户数据,但他们并不能充分保护这些信息,Facebook 则任由第三方负责保证这些数据的安全。

UpGuard 网络风险研究主管克里斯 - 维克里(Chris Vickery)表示:' 公众还没有意识到,这些高级系统管理员和开发人员,也就是这些数据的保管人,要么在冒险,要么在偷懒,要么在投机取巧。对大数据安全方面的关注不够。'

剑桥分析丑闻之后,Facebook 开始对数千个应用程序进行审查,确保开放商没有对用户数据进行不当处理。但依然未发现这次数据泄漏的服务器。

UpGuard 表示还有 10 万个类似的公开数据库。一部分第三方公司获取用户数据后并没有进行严格的保管。此次泄密的两个账户内数据已经被亚马逊删除。

亚马逊试图撇清责任,在回应中称用户拥有 S3 网盘中文件公开或加密的控制权,但本次泄密是因为用户没有进行设置。但《时代》杂志认为,亚马逊应该针对上传到该平台的敏感信息主动作出保护。近几年,安全研究人员已经在网盘中发现包括美国军事数据,手机用户信息,报纸订阅用户信息等多项私密数据。亚马逊在云服务和数据储存方面处于领先地位。

本次泄漏事件发生后, 一度涨到近八个月最高的 Facebook 股价转跌 1%。投资者担心 Facebook 又爆发一轮隐私事件。

就在两周前,网络安全记者 Brian Krebs 发布报告称,Facebook 存储了多达 6 亿个没有加密的用户帐户密码。这些账户密码可以作为明文数据,可以供 Facebook 进行查阅。

Facebook 在一篇博文中证实了这一报道,不过没有说明有多少用户受到影响。

题图来源:techcrunch


全部评论: 0

    我有话说: