兩個漏洞數據庫可以公開訪問超過5.4億個Facebook用戶記錄

540 Million Facebook User Records Exposed

一段時間以來,Facebook一直因為各種錯誤的原因成為頭條新聞。上個月,安全記者Brian Krebs 透露 ,數以億計的人的密碼已經以明文形式存儲在Facebook的內部系統中。當用戶抱怨社交媒體要求他們提供電子郵件密碼時,批評並沒有消失。

這兩個完全獨立的事件僅發生在兩週之內,是相當長的一系列事件中的最新事件,這些事件表明“Facebook”和“隱私”是兩個不相容的概念。對於社交媒體的反對者來說,這類新聞是新鮮的彈藥,他們認為Facebook是所有邪惡的根源,毫不奇怪,馬克扎克伯格正試圖捍衛他數十億美元的帝國。

他一再表示,Facebook將更新其政策並改變其數據處理機制,以確保超過20億用戶的隱私受到更好的保護。你是否願意相信他是由你決定的,但即使他做了他所承諾要做的所有事情,多年前的錯誤仍然可能導致數據暴露。

超過5億Facebook用戶記錄留在公共Amazon S3存儲桶中

今年1月,來自UpGuard的網絡安全研究人員偶然發現了幾個可以從世界任何地方公開訪問的Amazon S3存儲桶 ,經過仔細檢查,結果顯示包含了不少Facebook用戶記錄。

第一個桶屬於“At the Pool”的開發者 - 一個與Facebook集成的現已解散的社交媒體類型應用程序。該數據集包含有關22,000個用戶的信息,這些用戶在宏觀方案中並不是那麼多。雖然它很小且相對較舊(看起來該應用程序大約在五年前被刪除),但數據庫包含明文密碼 ,這在安全密碼存儲方面與所有常識相悖

必須要說的是,儘管所有受影響的個人都是Facebook用戶,但是暴露的密碼是針對他們的At the Pool帳戶而不是他們的Facebook個人資料。然而,正如UpGuard指出的那樣,對於使用和重用相同舊密碼的人來說,這並不是什麼安慰。除了密碼之外,存儲桶還有名為fb_user_id,fb_friends,fb_likes,fb_photos等的列。

偶然發現的第二個S3存儲桶UpGuard要大得多。它的容量為146千兆字節,總共包含5.4億條記錄。顯然,暴露的數據包括從帳戶名稱和Facebook ID到評論,喜歡和反應的所有內容. 經過一番調查後,UpGuard發現該數據是由一家位於墨西哥的營銷公司以Cultura Colectiva的名義收集的。

回顧一下,我們已經獲得了任何人都可以訪問的Facebook用戶的詳細信息。他們中的一些人被一個現已解散的軟件開發商曝光,其中一些是墨西哥營銷業務推出的。所有數據都託管在亞馬遜擁有的硬件上。你現在應該能夠看到問題了。

Newsflash:如果您與Facebook共享數據,您可能已經與第三方共享

媒體的強烈抗議遠沒有那麼響亮,但我們基本上談論的是我們在一年前劍橋Analytica醜聞爆發時談到的事情。多年來,Facebook一直樂於與第三方開發商和服務提供商分享用戶信息,並且它絕對沒有做任何事情來確保所述開發商和提供商積極保護用戶的隱私。

理論上,用戶應該對其數據有一些控制權。當您允許第三方查看和訪問您的信息時,您將看到它將看到的確切類型的詳細信息。但實際上,它不起作用。人們只是不仔細閱讀權限,即使他們這樣做,第三方是否正確存儲信息的問題仍然存在。有一個相當激進的選擇,禁止第三方完全訪問個人資料數據,但這將完全改變景觀,並迫使Facebook尋找其他賺錢方式。

即使是這種相當難以置信的場景,也只針對新用戶解決了這個問題。已經在平台上使用了幾年的人可能已經讓他們的數據被第三方訪問了,並且他們只能希望它不會暴露在公共Amazon S3存儲桶中或者實際上以任何其他方式暴露。正如UpGuard所說,精靈已經不在瓶子裡了。

我們意識到我們正在畫一幅漂亮的世界末日畫面,但事實是,Facebook過去幾年的工作方式使得整個隱私問題比現在更糟糕。令人驚訝的是,負責任的人似乎並沒有受到太大的打擾。

處理人員數據的組織的反應時間非常激烈

當他們找到這兩個桶時,UpGuard的研究人員認為保護At the Pool存儲的數據非常困難。該應用程序確實已經死了,所有證據都表明開發人員已關閉了商店。儘管如此,有人在UpGuard有時間通知亞馬遜之前就已經關閉了S3存儲桶。仍然不知道桶的所有者是否意識到他們正在暴露人們的數據或者託管訂閱是否過期。

鑑於Cultura Colectiva仍然是一個正常運作的實體,UpGuard希望讓它的存儲桶離線變得容易。可悲的是,它不是。研究人員於1月10日發出了他們的第一封電子郵件。四天后,他們再次嘗試通知墨西哥營銷公司,但他們沒有收到回复。看到這種情況無處可去,UpGuard轉向亞馬遜,告訴Jeff Bezos的人們他們的硬件暴露了一些不應該暴露的數據。然而,亞馬遜沒有取消數據,而是說他們已經通知了桶的擁有者。三個星期後,桶仍在運行,UpGuard決定向亞馬遜詢問發生了什麼。他們被承諾將進行進一步調查,但在接下來的將近六週內,數據仍然在線。

最後,當UpGuard的研究人員準備打破這個消息時,他們與Bloomberg進行了交談,後者又要求Facebook發表評論. 社交網絡宣布,將喜歡,評論,反應和ID放入可公開訪問的S3存儲桶中是違反服務條款的,並要求亞馬遜放下這個桶。這家全球最大的雲存儲提供商對Facebook的請求響應更快,而且在4月3日,就在UpGuard第一封電子郵件發布後的82天,數據終於被取消了。

事實上亞馬遜只有在另一端有一家大型社交媒體集團的情況下才會採取行動這一事實並不好看。 Facebook的反應也不盡如人意。例如,社交網絡未能說明它計劃做些什麼來確保未來不會發生類似事件。

話雖這麼說,運行Cultura Colectiva的人肯定應該承擔最大的責任,不僅因為他們將數據留在了一個開放的桶中,而且因為他們也沒有回復來自UpGuard和亞馬遜的電子郵件近三個月。

然而,問問他們,他們可能會告訴你他們沒有做錯任何事。在桶被拆除後不久,他們使用Cultura Colectiva的社交媒體頁面發表聲明該聲明僅提供西班牙語(鑑於該公司的英文版官方網站,這是一個相當奇怪的舉動)。 Cultura Colectiva說,從Facebook收集的所有數據都可以從用戶的個人資料中看到。您必須同意這一點,並不意味著它應該被組織並放入可公開訪問的AWS S3存儲桶中。

April 12, 2019

發表評論

重要!若要繼續到下一步,請完成以下簡單的數學問題。
Please leave these two fields as is:
7 + 9是什麼?