圖片來源: 

UpGuard

社群網站資料風險再現!研究人員發現一家小型資料公司在未經使用者同意情況下蒐集包括臉書、LinkedIn、推特及不動產網站等服務用戶高達4800 萬筆資訊,而且儲存於未設防的Amazon S3儲存服務上。

創立於2010年的LocalBlox自稱為第一家全球客戶智慧平台,是「唯一可結合個人工作及私人生活資訊以產生統合性分析智慧」的業者。該公司從許多公開資料源,包括社交網站及公開網站上以自動化工具大量蒐集、匯整及驗證個人及企業資料,當然這個過程並未經用戶同意。

然而安全公司UpGuard研究人員Chris Vickery今年2月發現Amazon S3 資料庫名為lbdumps的子網域內的壓縮檔。經過解壓縮分析,發現總量1.2TB的資料屬於LocalBlox,內容即為該公司蒐集來自各大社群網站,高達4800萬筆的用戶資料。由於這個資料庫未設密碼防護,因而有心人士可經由公開網路循路徑存取下載。

外洩內容型態林林總總,涵括用戶姓名、住家地址、生日、LinkedIn歷任工作紀錄、臉書公開資訊及推特用戶暱稱等,此外還有來自Zillow的資訊。除了臉書、推特、LinkedIn等公開網站資料,這批資料可能還包括從小額信貸公司等業者賣給行銷人員的用戶名單,甚至前夫/妻、男/女友。

研判這個資料庫經由追蹤用戶IP位址,並比對蒐集到的資料,能提供該IP主人的完整行為模型及背景。研究人員特別以臉書為例指出,在這個資料庫內幾乎可以找到完整的用戶資料,從名稱、電子郵件、照片、技能、就職公司、現任職位、家人資訊及上次更新活動等等應有盡有。

經研究人員通報後,這家資料分析公司當天就將資料庫加上密碼保護。但研究人員提醒,此事發生在臉書近日的資料外洩風暴後,再次突顯使用社群網站的風險:臉書等知名網站的資料往往是想從中謀利的人眼中的寶藏,透過大量資料集結,將用戶身份及行為模式的交互分析,就能讓他人反過來影響並操弄用戶。


Advertisement

更多 iThome相關內容