The Verge網站在4月4日發布一則Facebook個資外洩的報導,內文指出Facebook 5.33億用戶的個人訊息被公開在網路上,而這次甚至變本加厲、無需付費就可取得。
這次被洩漏的用戶涵蓋106個國家,其中包括3,200萬個美國用戶、1,100萬個英國用戶、600萬個印度用戶,被公開的資料包括電話、Facebook ID、全名、所在地、生日、個人簡歷,在某些情況下,甚至包含婚姻狀況、教育程度、電子郵件、所屬公司等。
事件起源與Facebook了無新意的處理
這事件可追溯至2019年,當時《富比世》報導指出,安全研究人員發現,利用Telegram的機器人程式隨機輸入電話號碼,便可找出與該號碼有關聯的Facebook用戶。但當時Facebook表示:「 社交網絡本來就從未提供電話號碼,若號碼與ID符合,也只能提取Facebook用戶上有限的公開訊息 。」
而網路安全公司Hudson Rock的技術長Alon Gal今年1月在論壇上發現有駭客想將竊取到的資料,以一筆20美元的價格進行交易,只要付費後即可利用Telegram的機器人程式輸入電話號碼查詢Facebook ID,或是做反向查詢。
2021年4月3日Gal意外的發現,最新的洩露形式已轉變為「 無須付費 」,且數據庫已在網路上流傳好幾天。《商業內幕》檢視後也證實數據屬實且可使用,這等同於讓有基本資料查詢能力的惡意人士,毫無阻礙地就輕鬆取得他人個資。
但Facebook對此並未有太多回應,僅強調:「這些是舊資料、是2019年被舉報的漏洞所導致,我們發現後已在同年8月修復」。對此,Gal認為:「雖然是用2019的舊資料,但人們不會經常更換電話號碼,生日的日期也不會更改,風險還是存在。」
如何確認自己的Facebook個資是否遭外流?
若想確認個人數據是否遭洩露,除了下載20GB數據庫外,還可透過第三方網站進行查詢,例如:
(一)安全分析師Troy Hunt維護的HaveiBeenPwned網站:
Hunt在該網站上建立外洩資料庫的副本, 只要輸入電子郵件,該網站就會進行交叉比對,告知查詢者的電子郵件是否也在數據庫中 。
不過這個網站有一個缺點,就是它只涵蓋2,529,621筆的電子郵件,大約只佔資料庫的0.5%,而且被公開的數據庫主要透過電話號碼做為用戶的編碼索引,但在Hunt的網站上無法透過相同方式進行查詢。
對此Hunt回應他正計劃讓用戶可以輸入自己的電話號碼,檢查自己是否有受波及,並預計在近日將此功能增列到HaveiBeenPwned的網站上。
(二)澳大利亞用戶David Johnstone創建的TheNewsEachDay網站:
Johnstone則創建一個 可讓用戶輸入電話號碼,以確定自己的訊息是否被洩漏 ,這個網站是專門給美國Facebook用戶使用,而網站涵蓋32,315,281筆美國電話,不過他的網站在1個月前才啟動,還需要點時間才能取得大家在使用上的信任。
Johnstone告訴《個人計算機雜誌》:「我知道有人對這個工具感興趣,所以我決定自己製作,這很容易,而且週末的最後一夜,我正好也沒有其他事情要做。」
但在隨機網站中輸入電話號碼似乎也不是個好方法,萬一在輸入電話號碼時,駭客也正在存取輸入的訊息,又該怎麼辦?Johnstone面對提問則說:「我的網站沒有秘密留存任何人的電話號碼,但要我證明在進行網站編碼時沒有違法,很難也不可能。」
(三)HaveIBeenFacebooked的網站:
另一個名為HaveIBeenFacebooked的網站,它同樣可以讓人們輸入電話號碼做檢查,但跟使用TheNewsEachDay面臨的困境一樣,查詢者也只能相信這個網站不會秘密紀錄自己的電話號碼。
為何Facebook不警告用戶資料可能已外流?
對於警告Facebook用戶,Gal悲觀的認為Facebook除了警惕人們要小心網路釣魚或詐欺,似乎也沒什麼事可做的了,而網路犯罪者一旦取得數據,就可以透過電話號碼和姓名,想方設法地欺騙你。
Gal在《商業內幕》公開發表的聲明中也呼籲Facebook:「 個人用戶會註冊像Facebook這樣信譽良好的社群軟體,都是基於信任公司會妥善保護數據,同樣的Facebook也應高度尊重每筆數據 。」
Facebook並不是第一次發生個資外洩,2018年劍橋分析事件(The Cambridge Analytica)影響約8,500萬名的使用者,並迫使Facebook加強對用戶隱私的保護,但很顯然的,這次被免費洩露的個資數量高達5.33億用戶,在在證明Facebook並未記取教訓,也尚未築起資安的銅牆鐵壁,才使得近年幾場的資安戰役屢戰屢敗。
