脸书又传个人信息大出现bug。研究人员发现一台内有大量脸书用户数据的不明服务器暴露于公开网络上,导致高达4亿笔脸书用户电话号码陷入外泄风险中。
GDI Foundation研究人员Sanyam Jain发现一台不明服务器未设密码,但内有大量脸书用户数据,他找不到负责人后通知Techcrunch。这台服务器内有数个数据库,内置多个区域脸书账户的电话和其他纪录总共4.2亿笔,包括1.33亿笔美国用户、1,800万笔英国用户及5千多万笔越南用户数据。每笔纪录都包含脸书ID及登记的电话号码。自去年4月起,脸书已经不公开用户的电话号码。
Techcrunch测试后发现,可以比对出已知用户的电话及其Facebook ID。此外,也利用电话比对脸书的密码重设功能,找出部分用户的电话号码。有些纪录包含用户姓名、性别及区域。此外,Jain也还发现多个名人脸书账户下的电话号码。
这些用户基本信息和电话号码如果落入歹徒之手,可能被用以进行诈骗电话、SIM卡交换(SIM Swapping),进而劫持用户所有相关网络帐号密码。
Techcrunch接获通报后,也费了一番工夫才联系到脸书,脸书发言人表示,这些是去年脸书移除利用电话寻找友人的功能前的旧数据,现在这批数据库也已下线,公司没有发现用户帐号有被入侵的情形。
不过究竟是谁搜集了这些数据、为何以及何时所为,目前仍不得而知。
这是脸书最新一次大规模数据暴露于公开网络上。第三方厂商疏忽导致用户数据外泄,像是恶名昭彰的剑桥分析案,促使脸书于去年大幅限制开发商API的访问权限。但脸书也曾因自己的疏忽闹出IG、Messenger用户密码以明文存储等乌龙案。脸书今年才因剑桥分析案等案件,被联邦交易委员会(FTC)处以50亿美元罚金,还有数宗欧洲政府GDPR相关调查进行中。
更正说明:原提及该服务器的拥有者是脸书,有误,应为不明来源的服务器。内文已更正。