安全产品测试网站Safety Detectives于本周指出,他们在腾讯于香港托管的服务器上,发现了一个完全没加密也不需要认证的ElasticSearch数据库,内置2.14亿名的社交网站用户个人信息,包括Facebook、Instagram与LinkedIn,而该数据库属于中国营销企业“笨鸟”(Socialarks)所有。
在该数据库所曝光的2.14亿名个人文件中,有超过1.3亿为脸书用户,超过6,600万为LinkedIn用户,以及超过1,000万的Instagram用户,这些个人文件主要包括了用户的姓名与电子邮件地址,脸书与IG的个人文件中还含有电话号码、照片及居住地等。
至于“笨鸟”则是2014年在中国成立的营销企业,专门提供国际贸易解决方案,号称可协助客户挖掘潜在客户,寻找目标客户,并将他们转化成订单,在中国设有多个据点。
目前并不确定这些个人信息最初是如何外流的,脸书允许第三方借由Facebook Login让脸书用户直接登录第三方服务,但并不允许第三方出售或转移它们所收到的用户信息,Safety Detectives猜测,如果第三方企业未作好安全设置,黑客就能部署机器人来搜括这些脸书用户的个人信息,而“笨鸟”则是自不同来源取得上述用户的个人信息。
Safety Detectives建议用户应该尽量避免于网络上分享自己的资料,否则可能会迎来诈骗或网络钓鱼攻击。研究人员在去年的12月14日通知了“笨鸟”,“笨鸟”并未回应Safety Detectives的邮件,但同一天即将数据库上了锁。