信息化觀察網(wǎng)

2019年“數(shù)據(jù)泄露”事件頻發(fā)，全球各地深受數(shù)據(jù)泄露事件的困擾，不斷引發(fā)社會(huì)各界對(duì)網(wǎng)絡(luò)安全的擔(dān)憂。

據(jù)外媒CNET報(bào)道，近日安全研究人員發(fā)現(xiàn)了一個(gè)不安全的數(shù)據(jù)庫(kù)，其中泄露了超過(guò)2.67億個(gè)Facebook用戶的電話號(hào)碼、姓名和用戶ID，任何人都可以在線訪問(wèn)該數(shù)據(jù)庫(kù)。這可能成為繼續(xù)困擾著世界上最大的社交網(wǎng)絡(luò)的又一起隱私和安全事故。

此次，安全研究人員Bob Diachenko發(fā)現(xiàn)了這一數(shù)據(jù)庫(kù)。據(jù)猜測(cè)，這次泄露事件很可能是越南犯罪分子非法抓取操作或?yàn)E用Facebook API的結(jié)果。

時(shí)間線梳理

該數(shù)據(jù)庫(kù)在被刪除訪問(wèn)權(quán)限前已經(jīng)在網(wǎng)上暴露了近兩周。我們能知道的是：

12月4日：數(shù)據(jù)庫(kù)首次被編入索引。

12月12日：數(shù)據(jù)庫(kù)被發(fā)布在黑客論壇供大家下載。

12月14日：Diachenko發(fā)現(xiàn)了數(shù)據(jù)庫(kù)，并立即向管理服務(wù)器IP地址的ISP（互聯(lián)網(wǎng)服務(wù)提供商）發(fā)送了濫用報(bào)告。（通常，當(dāng)發(fā)現(xiàn)這樣公開的個(gè)人數(shù)據(jù)時(shí)，會(huì)采取措施通知數(shù)據(jù)庫(kù)的所有者。但由于此次數(shù)據(jù)庫(kù)被懷疑是屬于一個(gè)犯罪組織，因此，Diachenko直接找了ISP。）

12月19日：數(shù)據(jù)庫(kù)不可用。

哪些數(shù)據(jù)被暴露

盡管Diachenko馬上通知了管理服務(wù)器IP地址的ISP（互聯(lián)網(wǎng)服務(wù)提供商），刪除數(shù)據(jù)庫(kù)的訪問(wèn)權(quán)限。不過(guò)，這些數(shù)據(jù)也被發(fā)布到了黑客論壇，可被下載。

此次共計(jì)曝光了267140436條記錄。大多數(shù)受影響的用戶來(lái)自美國(guó)，并且這些數(shù)據(jù)信息似乎都是有效的。每個(gè)記錄包含：Facebook ID、電話號(hào)碼、全名和時(shí)間戳。其中，F(xiàn)acebook ID是與特定賬戶相關(guān)的唯一公共號(hào)碼，可以用來(lái)識(shí)別賬戶的用戶名和其他配置文件信息。

泄露原因

罪犯是如何獲得用戶身份證和電話號(hào)碼的還不清楚。目前存在幾種猜測(cè)：

1、在Facebook于2018年限制訪問(wèn)電話號(hào)碼之前，這些數(shù)據(jù)是從Facebook的開發(fā)者API中盜取的。Facebook新聞發(fā)言人表示：“我們正在調(diào)查此問(wèn)題。在過(guò)去幾年里，我們?cè)?jīng)做過(guò)調(diào)整，加強(qiáng)對(duì)用戶信息的保護(hù)，我們認(rèn)為這些信息極有可能是在調(diào)整之前收集的。”

Facebook在API中剔除手機(jī)號(hào)信息是在2018年4月，也就是說(shuō)此次泄露的數(shù)據(jù)庫(kù)應(yīng)該是18個(gè)月之前的。

2、Diachenko表示，F(xiàn)acebook的API也可能存在一個(gè)安全漏洞，允許犯罪分子即使在訪問(wèn)受到限制后也能訪問(wèn)用戶的ID和電話號(hào)碼。

3、這些數(shù)據(jù)是在沒(méi)有使用Facebook API的情況下被竊取的，由于很多人將Facebook的個(gè)人資料可見(jiàn)性設(shè)置設(shè)置為public（公開可見(jiàn)）。因此惡意分子可以通過(guò)“Scraping”抓取的方式，利用自動(dòng)機(jī)器人快速篩選大量網(wǎng)頁(yè)，將數(shù)據(jù)從每個(gè)網(wǎng)頁(yè)復(fù)制到數(shù)據(jù)庫(kù)中。

數(shù)據(jù)泄露的危險(xiǎn)性

數(shù)據(jù)庫(kù)中包含的信息可用于大規(guī)模的垃圾郵件和網(wǎng)絡(luò)釣魚活動(dòng)，以及其他威脅活動(dòng)。因此，F(xiàn)acebook用戶應(yīng)該留意可疑短信。即使發(fā)信人知道你的名字或者你的一些基本信息，也要對(duì)任何未經(jīng)證實(shí)的信息持懷疑態(tài)度。