澳洲安全创业公司UpGuard最近在Amazon S3云计算存储服务上,发现两个可公开访问的存储贮体,其中一个来自墨西哥的媒体公司Cultura Colectiva,存放了与脸书用户有关的5.4亿笔纪录,另一个则来自脸书程序At the Pool,也存放脸书用户的帐号、友人名单、点赞数及At the Pool程序的密码,只是容量远不及Cultura Colectiva。
Cultura Colectiva在Amazon S3上存放的数据多达146GB,涉及脸书用户在该站的各种行为,从帐号名称、回应、评论、点赞到其它等。
至于At the Pool的数据库也含有脸书用户的帐号、点赞的内容、友人、音乐、电影、照片、打卡,以及2.2万名At the Pool程序用户的明文密码,虽然该密码与脸书无关,但用户可能在不同的服务上采用一致的密码,造成其它帐号遭黑的风险。
有趣的是,UpGuard早在今年1月初就通知Cultura Colectiva,却未收到回应,于是之后在1月底通知AWS,AWS也只能再通知Cultura Colectiva,但Cultura Colectiva依然毫无行动,一直到今年的4月,当彭博社为了报导该新闻而联系脸书时,Cultura Colectiva才终于保全了该数据库。
至于At the Pool程序早在2014年就无法运行,母公司也已关门大吉,在UpGuard发现其公开数据库并关注其来源时,数据库刚好同时被撤下。
UpGuard指出,Cultura Colectiva与At the Pool数据库之间的公用点,是它们都存放了与脸书用户有关的数据,从他们的兴趣、关系到交互等;受到外界严格审查的脸书正在紧缩第三方程式所能访问的用户数据,然而,此次曝光的两个数据库却意味着,脸书用户数据的外泄早就超过脸书所能控制的范围了。
因为当脸书允许第三方程式搜集用户数据的同时,这些数据的控制权已被转交到第三方开发者手上,因此,光依赖脸书来保全用户数据是不够的,还得寄望数百万的程序开发者都能一起捍卫脸书用户的数据安全。