情境示意圖,Photo by Austin Distel on Unsplash

臉書又傳個資大出包。研究人員發現一台內有大量臉書用戶資料的不明伺服器曝露於公開網路上,導致高達4億筆臉書用戶電話號碼陷入外洩風險中。

GDI Foundation研究人員Sanyam Jain發現一台不明伺服器未設密碼,但內有大量臉書用戶資料,他找不到負責人後通知Techcrunch。這台伺服器內有數個資料庫,內含多個區域臉書帳戶的電話和其他紀錄總共 4.2億筆,包括1.33億筆美國用戶、1,800萬筆英國用戶及5千多萬筆越南用戶資料。每筆紀錄都包含臉書ID及登記的電話號碼。自去年4月起,臉書已經不公開用戶的電話號碼。

Techcrunch測試後發現,可以比對出已知用戶的電話及其Facebook ID。此外,也利用電話比對臉書的密碼重設功能,找出部份用戶的電話號碼。有些紀錄包含用戶姓名、性別及區域。此外,Jain也還發現多個名人臉書帳戶下的電話號碼。

這些用戶基本資訊和電話號碼如果落入歹徒之手,可能被用以進行詐騙電話、SIM卡交換(SIM Swapping),進而劫持用戶所有相關網路帳號密碼。

Techcrunch接獲通報後,也費了一番工夫才聯絡到臉書,臉書發言人表示,這些是去年臉書移除利用電話尋找友人的功能前的舊資料,現在這批資料庫也已下線,公司沒有發現用戶帳號有被入侵的情形。

不過究竟是誰蒐集了這些資料、為何以及何時所為,目前仍不得而知。

這是臉書最新一次大規模資料曝露於公開網路上。第三方廠商疏忽導致用戶資料外洩,像是惡名昭彰的劍橋分析案,促使臉書於去年大幅限制開發商API的存取權限。但臉書也曾因自己的疏忽鬧出IG、Messenger用戶密碼以明文儲存等烏龍案。臉書今年才因劍橋分析案等案件,被聯邦交易委員會(FTC)處以50億美元罰金,還有數宗歐洲政府GDPR相關調查進行中。

更正說明:原提及該伺服器的擁有者是臉書,有誤,應為不明來源的伺服器。內文已更正。


Advertisement

更多 iThome相關內容