脸书再遭数据泄露 2.6亿用户受影响

社交应用的用户可以说是每天都心惊胆颤，因为大概不知道甚么时候他们的个人资料就会被人泄密了。就在最近的一次脸书Facebook隐私泄露中，大概有2.67亿用户的数据遭到泄露。考虑到此前脸书也有过不少用户数据遭到泄露的先例，因此到现在为止可以几乎说每个脸书用户或多或少都遭遇过这样的事情。

网络科技公司Comparitech及网络安全研究员Bob Diachenko发现，网络上有一个泄露了几个星期的Facebook 用户数据存储库。虽然在之后这个数据库消失了，但是在黑客论坛上却出现了相关的下载连接。

这些数据原本是在Elasticsearch，一个全文搜索引擎中可以找得。研究人员表示，Facebook数据库于12月4日左右第一次出现在Elasticsearch中。在12月12日，这些数据在黑客论坛上以下载连接的形式出现。两天后，Bob Diachenko发现了这个数据库，并且向和这个AP地址相关的ISP发送了滥用报告。到了12月19日，这个泄露数据库就从Elasticsearch中消失了。

图片来源：Extreme Tech

可以肯定的说，在数据库下载连接被删除之前，已经有不法分子把数据库给下载了。这总数为267,140,436条的用户记录虽然不包括用户密码或者其他敏感的信息，但包含了脸书 ID、电话号码、全名和时间戳。因此，不法分子可以找到相关用户的脸书个人资料来收集更多用户信息并进行网络钓鱼攻击。Comparitech指出，这个数据库的数据将会是短信诈骗的理想来源。

目前并没有人知道这个数据库是如何出现在网络上的。有可能是一小撮人通过安全漏洞获得了访问脸书的系统权限，也可能是有人利用了脸书的开发人员API。在Cambridge Analytica的丑闻曝光后(该公司利用开发人员API来向用户定向发送选举相关信息)，脸书在2018年限制了对这个API的访问权限。而在此前，脸书宽松的政策使开发人员可以轻松地从社交网络中获得他们想要的数据。虽然技术上讲共享数据违反脸书的政策，但脸书也无法阻止这样的情况。

令人不安的是，这次的用户数据泄露在脸书的众多丑闻中只是冰山一角。而脸书官方表示目前正在调查这次泄露，初步相信数据库是在开发人员API的使用还没被限制前就已经泄露了。而脸书也已经拨出了30亿美元专门准备用来缴交未来可能出现的隐私保护措施罚款。

这让笔者想起一个很旧的段子："在注册Google时我名字填Yahoo，在注册Yahoo时我名字填Google，这样子有人打电话问我是不是Yahoo先生时，我就知道是Google泄露了我的信息"