網路行銷業者Salt Agency技術總監Reza Moaiandin無意間發現Facebook的一個API含有外洩使用者個資的風險,駭客只要輸入大量的隨機電話號碼,就能檢視用戶的個人資料,包括姓名、照片與地區等。
遭到Moaiandin點名的是Facebook的GraphQL應用程式設計介面(API),這是一個圖像數據的查詢語言,是Facebook客戶端向伺服器端請求資料的工具。 Moaiandin說明,他以美國、英國及加拿大等國家進行測試,發現只要輸入符合當地Facebook用戶的電話號碼,伺服器就會回傳該名使用者的個人資訊,問題出在Facebook並未限制查詢的數量,導致開發人員可以輸入大量的隨機號碼進行比對,他的測試成功取得了數千名Facebook用戶的個資,而且伺服器所回傳的資訊並未加密。
Moaiandin認為,駭客很可能會利用此一漏洞大量蒐集Facebook用戶的個資,每筆個資在黑市至少可售得5美元。
其實Moaiandin今年4月就曾向Facebook提報,但當時與之接洽的Facebook工程師未能複製此一漏洞。7月他再次通知Facebook,臉書竟然說這是刻意提供的機制而非安全漏洞。該站的確部署了查詢數量限制功能,只是Moaiandin的查詢數量並未達到門檻所以未被封鎖。
知名的資安部落客Graham Cluley則認為這是個隱私問題,建議Facebook應該要強化其隱私機制,另也建議使用者將電話號碼的分享設定從預設的公開改為「只限朋友」。(編譯/陳曉莉)
熱門新聞
2024-04-24
2024-04-25
2024-04-22
2024-04-22
2024-04-22
2024-04-22
2024-04-22
Advertisement