脸书用户再传隐私危机,2.7亿笔数据暴露于网上

脸书用户再面临数据外泄危机。安全公司发现一个疑似黑客搜集包含将近2.7亿笔用户电话号码、账号及姓名的不明数据库挂在网络上,还放在黑客论坛上供下载。

安全厂商Comparitech研究人员Bob Diachenko在12月14日发现到这个公开于网络上的数据库。研究人员认为这个数据库可能是一群越南黑客非法访问脸书API搜集到的结果,而这些外泄数据可能被用大规模发送垃圾短信、钓鱼邮件或其他有害内容。

分析发现这个数据库含有2.67亿笔数据,大部分属于美国地区脸书用户。研究人员表示,所有曝光的数据都是有效信息。每笔信息都有脸书用户全名、不重复用户ID、电话号码与时戳。不重复ID和电话号码可用来识别账号用户名和和其他文件信息。数据库的服务器还有一个有登录接口和欢迎页的页面。

这个数据库是在12月4日被创建索引公开于网络上,研究人员发现后,立即通知ISP将访问IP地址的渠道移除。虽然“只”暴露在网络上10天,但研究人员也发现,黑客已在12月12日将之放到黑客论坛上供人下载。

歹徒如何搜集到这大批数据还不完全清楚,不过Diachenko判断可能是2018年以前利用脸书的开发人员API取得。在去年初脸书爆发剑桥分析8700万笔数据外泄后,脸书就关闭访问用户电话号码的API。另一可能是完全跳过脸书API,直接利用网页机器人程序从公开用户数据页爬数据,因为许多人都把数据页设为可公开访问。

为避免再被机器人程序爬走数据,研究人员呼吁用户将账号下所有信息的访问许可,设为“朋友”和“只有我”。此外也应在“你希望脸书外搜索引擎连接到你的个人数据页吗”的选项中,设为“否”。

三个月前才爆出一个载有4.2亿笔的数据库公开于网络上,内有美、英及越南用户的脸书ID及用户电话号码。