您正在使用IE低版浏览器,为了您的雷峰网账号安全和更好的产品体验,强烈建议使用更快更安全的浏览器
此为临时链接,仅用于文章预览,将在时失效
政企安全 正文
发私信给大壮旅
发送

0

5.4 亿条用户记录泄露,Facebook 真是不长记性

本文作者: 大壮旅 编辑:田馨 2019-04-05 17:43
导语:小扎该想想怎么管好第三方公司了

5.4 亿条用户记录泄露,Facebook 真是不长记性

闹的沸沸扬扬的“剑桥分析”(Cambridge Analytica)数据泄露丑闻才刚刚过去一年,Facebook 好像又在同一个地方跌倒了,小扎还真是不长心啊。

4月4日,网络安全公司 UpGuard 的研究人员确认,AWS 的云服务器上又出现了一个不安全的数据库,而它与 Facebook 可脱不了干系。显然,因为数据泄露丑闻被国会议员“围攻”的扎克伯格并没有吸取教训,Facebook 在确保用户数据绝对安全方面有点不作为。

据 UpGuard 公司研究人员分析,这次被曝光的数据库存有大量独家用户信息,但这些用户信息连个“守门”的密码都没有。据悉,被曝光的数据库有一部分是来自墨西哥数字媒体公司 Cultura Colectiva 的数据集,这里公开存储了约 5.4 亿条 Facebook 用户记录,这些机密数据的容量高达 146 GB。

鉴于这个数据库完全对外开放,因此任何人都能“到此一游”并随手下载相关数据,比如邮箱地址与登录信息,而登录信息这部分甚至直接囊括了密码、账号、识别码、用户评论和互动,实在是太吓人了。

彭博社给 Facebook 通报了这个数据集的存在后,社交巨头马上将其从 AWS 移除。Facebook 还一并“干掉”了属于 At the Pool 应用的另一个数据集,这里存了大约 2.2 万名 Facebook 用户的 email 账号和密码。

由于 Facebook“行动神速”,因此安全研究人员不知道到底这些数据库泄露了多少“天机”。Facebook 发言人则宣称,它们一收到消息就赶紧将这些数据库下线。眼下,公司正在对这一事件进行调查,为的就是确认这些数据在 AWS 上到底“曝光”了多久。

Facebook 发言人还进一步确认称,公司并不允许将用户数据存储在公共数据库中,这是明显的违规行为。不过,值得一提的是,上周 Facebook 才刚刚被抓住小辫子,它们不但将 6 亿用户的纯文本密码存在自家服务器上,还给了超过 2 万名雇员获取这些密码的权力。

当然,Facebook 总是被此类丑闻纠缠也是因为它们有向第三方开发者分享用户数据的“传统”。不过,这项“光荣传统”最近才被曝光,面对各方抨击,Facebook 也不得不对数据分享的行为下了禁止令。

除此之外,UpGuard 的研究人员还指出,这两个被曝光的数据库只是沧海一粟罢了,因为亚马逊的 AWS 上可是驻留着 10 万个服务器呢,它们中肯定也有服务器存在数据泄露问题。UpGuard 网络风险研究主管 Chris Vickery 更是大声疾呼,称用户数据急需得到尊重和保护。

Vickery 表示:“公众还没有意识到,这些高级系统管理员、开发人员以及数据保管人员并不是什么守护天使,他们要么冒险,要么懒惰或偷工减料。此外,业界对大数据的安全问题也没有没有足够的关注。”

Digital Guardian 公司云服务安全架构师 Naaman Hart 则警告用户,互联网没有免费午餐,即使是看似免费的社交媒体,比如 Facebook,而你付出的代价就是用户数据。

“这就是你使用免费服务的‘买路财’,但你得想想这笔买卖到底值不值。虽然 Facebook 并非数据泄露的罪魁祸首,但它们漏洞百出的管理还是让第三方公司能轻松拿到这些数据。从这点来看,Facebook 在保护用户数据上没有尽到应有义务,它们反而选择助纣为虐。”Hart 解释道。

Hart 还警告那些采集用户数据并将其分享给第三方的公司要及时收手,因为欧盟的《通用数据保护条例》(GDPR)可是一直悬在头上呢。

“在 GDPR 时代各家公司都必须意识到,只要它们采集用户数据,就必须对其负责,无论是自己保存还是分享给第三方。也许未来有关该问题的诉讼会集中爆发,欧盟的罚款可不是闹着玩的。在持续高压下,出于公司声誉和财务方面的考虑,Facebook 这样的巨头恐怕也得恪守严格的安全标准并监督好与自己做生意的其他公司。”Hart 补充道。

雷锋网 Via. Hackread

雷锋网雷锋网

雷峰网原创文章,未经授权禁止转载。详情见转载须知

分享:
相关文章
当月热门文章
最新文章
请填写申请人资料
姓名
电话
邮箱
微信号
作品链接
个人简介
为了您的账户安全,请验证邮箱
您的邮箱还未验证,完成可获20积分哟!
请验证您的邮箱
立即验证
完善账号信息
您的账号已经绑定,现在您可以设置密码以方便用邮箱登录
立即设置 以后再说