两个漏洞数据库可以公开访问超过5.4亿个Facebook用户记录
一段时间以来,Facebook一直因为各种错误的原因成为头条新闻。上个月,安全记者Brian Krebs 透露 ,数以亿计的人的密码已经以明文形式存储在Facebook的内部系统中。当用户抱怨社交媒体要求他们提供电子邮件密码时,批评并没有消失。
这两个完全独立的事件仅发生在两周之内,是相当长的一系列事件中的最新事件,这些事件表明“Facebook”和“隐私”是两个不相容的概念。对于社交媒体的反对者来说,这类新闻是新鲜的弹药,他们认为Facebook是所有邪恶的根源,毫不奇怪,马克扎克伯格正试图捍卫他数十亿美元的帝国。
他一再表示,Facebook将更新其政策并改变其数据处理机制,以确保超过20亿用户的隐私受到更好的保护。你是否愿意相信他是由你决定的,但即使他做了他所承诺要做的所有事情,多年前的错误仍然可能导致数据暴露。
Table of Contents
超过5亿Facebook用户记录留在公共Amazon S3存储桶中
今年1月,来自UpGuard的网络安全研究人员偶然发现了几个可以从世界任何地方公开访问的Amazon S3存储桶 ,经过仔细检查,结果显示包含了不少Facebook用户记录。
第一个桶属于“At the Pool”的开发者 - 一个与Facebook集成的现已解散的社交媒体类型应用程序。该数据集包含有关22,000个用户的信息,这些用户在宏观方案中并不是那么多。虽然它很小且相对较旧(看起来该应用程序大约在五年前被删除),但数据库包含明文密码 ,这在安全密码存储方面与所有常识相悖 。
必须要说的是,尽管所有受影响的个人都是Facebook用户,但是暴露的密码是针对他们的At the Pool帐户而不是他们的Facebook个人资料。然而,正如UpGuard指出的那样,对于使用和重用相同旧密码的人来说,这并不是什么安慰。除了密码之外,存储桶还有名为fb_user_id,fb_friends,fb_likes,fb_photos等的列。
偶然发现的第二个S3存储桶UpGuard要大得多。它的容量为146千兆字节,总共包含5.4亿条记录。显然,暴露的数据包括从帐户名称和Facebook ID到评论,喜欢和反应的所有内容. 经过一番调查后,UpGuard发现该数据是由一家位于墨西哥的营销公司以Cultura Colectiva的名义收集的。
回顾一下,我们已经获得了任何人都可以访问的Facebook用户的详细信息。他们中的一些人被一个现已解散的软件开发商曝光,其中一些是墨西哥营销业务推出的。所有数据都托管在亚马逊拥有的硬件上。你现在应该能够看到问题了。
Newsflash:如果您与Facebook共享数据,您可能已经与第三方共享
媒体的强烈抗议远没有那么响亮,但我们基本上谈论的是我们在一年前剑桥Analytica丑闻爆发时谈到的事情。多年来,Facebook一直乐于与第三方开发商和服务提供商分享用户信息,并且它绝对没有做任何事情来确保所述开发商和提供商积极保护用户的隐私。
理论上,用户应该对其数据有一些控制权。当您允许第三方查看和访问您的信息时,您将看到它将看到的确切类型的详细信息。但实际上,它不起作用。人们只是不仔细阅读权限,即使他们这样做,第三方是否正确存储信息的问题仍然存在。有一个相当激进的选择,禁止第三方完全访问个人资料数据,但这将完全改变景观,并迫使Facebook寻找其他赚钱方式。
即使是这种相当难以置信的场景,也只针对新用户解决了这个问题。已经在平台上使用了几年的人可能已经让他们的数据被第三方访问了,并且他们只能希望它不会暴露在公共Amazon S3存储桶中或者实际上以任何其他方式暴露。正如UpGuard所说,精灵已经不在瓶子里了。
我们意识到我们正在画一幅漂亮的世界末日画面,但事实是,Facebook过去几年的工作方式使得整个隐私问题比现在更糟糕。令人惊讶的是,负责任的人似乎并没有受到太大的打扰。
处理人员数据的组织的反应时间非常激烈
当他们找到这两个桶时,UpGuard的研究人员认为保护At the Pool存储的数据非常困难。该应用程序确实已经死了,所有证据都表明开发人员已关闭了商店。尽管如此,有人在UpGuard有时间通知亚马逊之前就已经关闭了S3存储桶。仍然不知道桶的所有者是否意识到他们正在暴露人们的数据或者托管订阅是否过期。
鉴于Cultura Colectiva仍然是一个正常运作的实体,UpGuard希望让它的存储桶离线变得容易。可悲的是,它不是。研究人员于1月10日发出了他们的第一封电子邮件。四天后,他们再次尝试通知墨西哥营销公司,但他们没有收到回复。看到这种情况无处可去,UpGuard转向亚马逊,告诉Jeff Bezos的人们他们的硬件暴露了一些不应该暴露的数据。然而,亚马逊没有取消数据,而是说他们已经通知了桶的拥有者。三个星期后,桶仍在运行,UpGuard决定向亚马逊询问发生了什么。他们被承诺将进行进一步调查,但在接下来的将近六周内,数据仍然在线。
最后,当UpGuard的研究人员准备打破这个消息时,他们与Bloomberg进行了交谈,后者又要求Facebook发表评论. 社交网络宣布,将喜欢,评论,反应和ID放入可公开访问的S3存储桶中是违反服务条款的,并要求亚马逊放下这个桶。这家全球最大的云存储提供商对Facebook的请求响应更快,而且在4月3日,就在UpGuard第一封电子邮件发布后的82天,数据终于被取消了。
事实上亚马逊只有在另一端有一家大型社交媒体集团的情况下才会采取行动这一事实并不好看。 Facebook的反应也不尽如人意。例如,社交网络未能说明它计划做些什么来确保未来不会发生类似事件。
话虽这么说,运行Cultura Colectiva的人肯定应该承担最大的责任,不仅因为他们将数据留在了一个开放的桶中,而且因为他们也没有回复来自UpGuard和亚马逊的电子邮件近三个月。
然而,问问他们,他们可能会告诉你他们没有做错任何事。在桶被拆除后不久,他们使用Cultura Colectiva的社交媒体页面发表声明 , 该声明仅提供西班牙语(鉴于该公司的英文版官方网站,这是一个相当奇怪的举动)。 Cultura Colectiva说,从Facebook收集的所有数据都可以从用户的个人资料中看到。您必须同意这一点,并不意味着它应该被组织并放入可公开访问的AWS S3存储桶中。