圖片來源: 

Photo by William Iven on Unsplash(https://unsplash.com/photos/DfMMzzi3rmg

臉書被揭露2016年起在未經用戶同意下蒐集並上傳用戶電子郵件信箱的聯絡人資料。臉書說資料是不小心上傳到其平台,他們已經於上個月停止蒐集行為,且會刪除蒐集到聯絡人資料。臉書並更新三月間密碼以明碼儲存的IG用戶數,不是數萬而是數百萬。

Business Insider周四報導在追蹤另一案件時發現此事。今年三月代號為e-sushi的安全研究人員3月時發現,臉書要求新使用者輸入電子郵件信箱的密碼;臉書說,若想持續其服務,使用者必須驗證其郵件信箱並輸入密碼。這讓臉書可以自動登入用戶的郵件信箱。研究人員指出,這是很糟的主意,因為臉書「基本上是在竊取不應該知道的密碼」。此事也於3月由媒體The Daily Beast報導

不過事情還沒結束。Business Insider在測試臉書上述行為時,發現到一旦用戶輸入密碼,臉書在未取得用戶同意前,就跳出一個訊息告知它正在「匯入」用戶聯絡人資料。重點是,用戶無法提前退出(opt out)、匯入途中也無法取消或中止。

在被媒體求證時,臉書坦承從2016年5月起,提供了一個以用戶電子郵件密碼驗證帳號,並且上傳聯絡人的選項。臉書估計,有150萬名臉書用戶的聯絡人資料「不小心」被上傳到臉書。臉書後來修改了這項功能,也刪除告知聯絡人上傳的訊息,但底層的運作則仍然持續。

這家社群平台稱,絕沒有藉此存取用戶的郵件內容,也未將聯絡人資料分享出去。至於總共有多少筆聯絡人電子郵件或個資因此被蒐集,臉書則不願說明。

或許是因為3月間被研究人員發現且被媒體報導,臉書說上個月就停止了以電子郵件密碼驗證的功能,也修復了「底層」問題。他們表示會將蒐集到的聯絡人資料刪除,也會通知被蒐集到資料的使用者。臉書用戶們也可以在其設定中,一覽並管理他們「分享給」臉書的聯絡人資料。

臉書資料有意或無意外洩的事件已經多到可用罄竹難書來形容。從去年劍橋分析外洩8700萬名用戶個資之後,9月間再發生一個存在一年多的更新影片上傳功能,有程式碼漏洞未修補,導致該公司史上最大規模資料外洩事件,至少5,000萬名臉書帳戶資訊恐遭駭客竊取。

3月間安全研究人員發現臉書要求用戶提供雙因素驗證(2 Factor Authentication,2FA)用的電話號碼,反而使用戶曝露在被其他人搜尋到的風險。

此外,同一個月內,臉書還被爆數億Facebook Lite用戶、數千萬臉書用戶及「數萬名」IG用戶密碼從2012年起就以明文儲存,且至少有數千名員工已經搜尋過。但臉書4月18日更新部落格指出,它之後發現明碼儲存的IG用戶密碼不是數萬筆,而是數百萬筆。臉書將追加通知這些用戶,同時強調並未被公司員工濫用或不當存取。


Advertisement

更多 iThome相關內容