Facebook被指无意中曝光上亿条用户数据 股价转跌

来源:cnBeta.COM2019.06.20

网络安全公司UpGuard发现,上亿条保存在亚马逊AWS云计算服务器上的Facebook用户信息记录,无意中可以被任何人轻易地公开获取。消息令Facebook股价从涨2%变为收跌0.4%,从盘中近八个月新高回落,但今年累涨30%。4月3日周三美股午盘后,据彭博社率先披露,美国网络安全公司UpGuard发现,上亿条保存在亚马逊AWS云计算服务器上的Facebook用户信息记录,无意中可以被任何人轻易地公开获取。

最新的数据暴露(data exposure)丑闻令Facebook股价短线跳水转跌0.2%,此前一度涨2%,日高接近178美元,也是近八个月最高。最终Facebook收跌0.4%,股价仍超过173美元,接近2018年9月初以来高位。

此前在周二美股时段,Facebook曾触及174.90美元,创2018年8月31日以来的逾七个月盘中新高,当日收涨3.26%,领涨FAANG五大科技股。今年以来Facebook累涨30%,从去年12月低点反弹40%。

最新消息显示,Facebook发言人对各大主流媒体承认,用户的多组个人数据被存放在亚马逊AWS数据库中,一被告知这个问题,公司便与亚马逊合作删除了有问题的数据库。该发言人重申,Facebook的政策禁止将FB信息存储在公共数据库中,尚没有证据表明数据被滥用,但正在调查。

UpGuard网络风险团队的原文帖子显示,又发现两个由第三方开发的Facebook应用抓取的用户数据集,被暴露在公共互联网中。

其中一组来自墨西哥数字媒体公司Cultura Colectiva,在不设任何密码的情况下,该公司在亚马逊S3存储服务器上留下了超过5.4亿条Facebook用户记录,包括他们的评论、点赞、反应、帐户名称、Facebook ID号等,不设置密码等于任何人都可以访问这些数据,容量高达146 GB。

第二组来自2014年就已下线的Facebook第三方开发应用程序At the Pool,数据集被存放在另一个亚马逊S3云存储服务器中,虽然容量不是很大,但包含了更多敏感信息,包括从2.2万多个Facebook用户处抓取的信息,例如用户的朋友列表、电邮地址、兴趣、照片、小组、签到等。

来自At the Pool的数据库还包含未加密的Facebook用户密码,UpGuard公司认为,这些密码很可能是这一应用程序本身的密码,而不是用户的Facebook账号密码。但由于不清楚这些数据集在互联网公开场所被暴露了多久,如果用户在各种应用中使用相同密码,可能面临风险。

UpGuard网络风险研究主管Chris Vickery对多家媒体表示,这一最新发现继续凸显了困扰大规模数据收集公司的问题:“存储从终端用户那里收集来的个人信息是一种负担,拥有的越多,责任就越大”,而且Facebook无法保证终端用户的数据被安全储存。该公司总结称:

“最新发现说明,Facebook用户数据的散布程度已经远远超过了FB公司可以控制的范围。

这些个人数据依赖Facebook产生,但FB却控制不了。在上述每种情况下,Facebook平台帮助第三方应用开发者收集并转移了个人数据,却由第三方负责保证这些数据的安全。

考虑到被抓取的个人数据丰富程度,以及错误配置后可供公共访问的存储技术,导致Facebook用户的长尾数据继续被泄露。

上述两种情况也说明了大规模信息收集/抓取的固有问题:数据不会自然消失,被废弃的存储位置可能没有得到足够的重视和保护。”

科技媒体TechCrunch指出,UpGuard公司在2018年曾发现了Localblox公司抓取的4800万条Facebook用户信息记录被不当存储。彭博社指出,UpGuard还发现了10万个开放的亚马逊托管数据库,用来存储各种类型的数据,而有些数据本不应被公开。

华尔街见闻曾提到,今年3月下旬(两周前),网络安全记者Brian Krebs发布报告称,Facebook存储了多达6亿个没有加密的用户帐户密码。这些账户密码可以作为纯文本,给成千上万名FB员工查看。当时Facebook在一篇博文中证实了这一报道,不过没有说明有多少用户受到影响。

最早报道这一新闻,并促使Facebook联络亚马逊删除了高风险数据库的彭博社分析称,事件表明,在英国剑桥分析公司泄露8700万Facebook用户数据的丑闻揭露一年后,控制这些信息产生、传播和存储的每一步所涉及公司们,仍没有做好足够的工作来保护个人数据安全。

热门文章

  • 七一将临,过去几周网络黑客攻击暴增30%

    在建党100周年来临之际,创宇盾将为包括党、政、军、事业单位、教育、医疗等重点客户提供免费网络安全保障服务。

  • FBI 向托管 Cyclops Blink 恶意软件的僵尸网络服务器发起了行动

    美国联邦调查局(FBI)透露,该机构于今年 3 月发起了针对 GRU 控制的大型僵尸网络的专项行动。在获得加利福尼亚和宾夕法尼亚两州法院的授权后,FBI 清理了存在于指挥和控制服务器(C2S)上的所谓 Cyclops Blink 恶意软件,从而切断了其与受感染设备的连接。

  • Meta 在新报告中提及黑客组织发布虚假的“乌克兰军队投降”信息

    根据Meta(Facebook的母公司)的一份新的安全报告,一个与白俄罗斯有关的黑客组织试图入侵乌克兰军事人员的Facebook账户,并从黑客账户发布视频,谎称乌克兰军队投降。这场黑客行动之前被安全研究人员称为”Ghostwriter”,是由一个名为UNC1151的组织实施的,该组织在Mandiant进行的研究中与白俄罗斯政府有关。

关注知道创宇云安全

获取安全动态