FB曝重大安全漏洞 4亿多条用户资料记录曝光

　　9月5日消息，据外媒报道，社交媒体巨头Facebook最近的隐私漏洞暴露了一台没有密码保护的服务器上4亿多条用户记录，每条记录都包含一个用户的Facebook ID和连接到他们账户的电话号码。

　　暴露的服务器包含多个数据库中的记录，涉及不同地理位置的用户，其中包括美国Facebook用户的1.33亿条记录，英国1800万条用户记录，以及超过5000万条越南用户记录等。由于服务器没有密码保护，任何人都可以找到并访问这些数据库。

　　用户的Facebook ID通常是与他们的帐户相关联的唯一公共数字，可以很容易地用来识别帐户的用户名。但自从Facebook限制访问用户的电话号码以来，这些信息已经有一年多没有公开过了。

　　美国媒体通过将已知Facebook用户的电话号码与其列出的Facebook ID进行匹配来验证数据库中的多条记录。此外，他们还通过将电话号码与Facebook自己的密码重置功能进行匹配来检查其他记录，该功能可用于部分揭示用户与其帐户相关联的电话号码。

　　有些记录还包含用户的姓名、性别和国家/地区的位置。比如来自英国数据库的一组经过编辑的记录，“44”表示+44，这是英国的国家代码，“7”则表示手机号码。

　　这是自剑桥分析公司(Cambridge Analytica)滥用数据丑闻以来Facebook曝出的最新数据安全漏洞。在2016年美国总统大选中，超过8000万人的个人资料被抓取，以帮助识别摇摆不定的选民。

　　自那以后，该公司发生了几起备受瞩目的抓取事件，包括Instagram，该公司最近承认有大量的个人资料被抓取。

　　这起最新事件仅仅通过Facebook ID就暴露了数亿用户的电话号码，使他们面临垃圾电话和SIM交换攻击的风险，这种攻击依赖于欺骗手机运营商将某人的电话号码提供给攻击者。利用他人的电话号码，攻击者可以强制重置与该号码关联的任何互联网帐户的密码。

　　安全研究员、GDI基金会成员Sanyam Jain找到了数据库，在找不到所有者后联系了媒体。在浏览了上面的数据之后，他们找到了网络主机，随后数据库被拉离线了。Jain说他找到了些与几位名人有关的电话号码的个人资料。

　　Facebook发言人表示，在Facebook切断对用户电话号码的访问之前，这些数据已经被收集。他说：“这个数据集很老了，似乎有我们去年做出改变之前获得的信息，那时就消除了人们使用自己的电话号码找到其他人的能力。数据集已经被删除，我们没有看到Facebook账户被泄露的证据。”

　　但究竟是谁抓取了这些数据，是什么时候从Facebook上抓取的，以及有何目的?这些问题仍然未找到答案。

　　Facebook长期以来一直限制开发者访问用户电话号码，该公司还使搜索朋友的电话号码变得更加困难。但是数据似乎在上月底被加载到暴露的数据库中，尽管这并不一定意味着这些数据是新的。

　　这一最新的数据泄露事件是在没有密码保护的情况下，在线和公开存储的数据被曝光的最新例子。尽管经常与人为错误而不是恶意破坏联系在一起，但数据暴露仍然代表着一个新出现的安全问题。(腾讯科技审校/金鹿)