澳洲資安新創UpGuard最近在Amazon S3雲端儲存服務上,發現兩個可公開存取的儲存貯體,當中一個來自墨西哥的媒體公司Cultura Colectiva,存放了與臉書用戶有關的5.4億筆紀錄,另一個則來自臉書程式At the Pool,亦存放臉書用戶的帳號、友人名單、按讚數及At the Pool程式的密碼,只是容量遠不及Cultura Colectiva。

Cultura Colectiva在Amazon S3上存放的資料多達146GB,涉及臉書用戶在該站的各種行為,從帳號名稱、回應、評論、按讚到其它等。

至於At the Pool的資料庫亦含有臉書用戶的帳號、按讚的內容、友人、音樂、電影、照片、打卡,以及2.2萬名At the Pool程式用戶的明文密碼,雖然該密碼與臉書無關,但使用者可能在不同的服務上採用一致的密碼,造成其它帳號遭駭的風險。

有趣的是,UpGuard早在今年1月初就通知Cultura Colectiva,卻未收到回應,於是繼之在1月底通知AWS,AWS也只能再通知Cultura Colectiva,但Cultura Colectiva依然毫無行動,一直到今年的4月,當彭博社為了報導此一新聞而聯繫臉書時,Cultura Colectiva才終於保全了該資料庫。

至於At the Pool程式早在2014年就無法運作,母公司亦已關門大吉,在UpGuard發現其公開資料庫並追蹤其來源時,資料庫剛好同時被撤下。

UpGuard指出,Cultura Colectiva與At the Pool資料庫之間的共通點,是它們都存放了與臉書用戶有關的資料,從他們的興趣、關係到互動等;受到外界嚴格檢視的臉書正在緊縮第三方程式所能存取的用戶資料,然而,此次曝光的兩個資料庫卻意味著,臉書用戶資料的外洩早就超過臉書所能控制的範圍了。

因為當臉書允許第三方程式蒐集用戶資料的同時,這些資料的控制權已被轉交到第三方開發者手上,因此,光仰賴臉書來保全用戶資料是不夠的,還得冀望數百萬的程式開發者都能一起捍衛臉書用戶的資料安全。


Advertisement

更多 iThome相關內容