Facebook泄露5億用戶數據,只因一個Bug?
Jonathan Vanian
2021-04-08
Facebook有超5億用戶數據遭泄露,電話號碼、電郵地址等個人信息被黑客竊取。
上周末,網絡犯罪情報公司Hudson Rock的首席技術官阿隆·加爾披露了這起數據泄露事件。他在Twitter表示:“如果你有Facebook賬戶,那么賬戶關聯的電話號碼極有可能已遭泄露。”
遭泄露的信息包括Facebook賬號、定位信息、用戶全名、出生日期、電郵地址、賬戶創建日期、關系狀態和個人簡介等。加爾說,幾乎肯定的是,黑客會利用泄露數據實施網絡詐騙,包括“社會工程”攻擊。在這種攻擊中,黑客理論上會利用電話號碼等泄露數據,先與用戶建立信任,最終說服用戶透露更為重要的信息,比如社會安全碼。
此次泄露事件是對Facebook數據隱私聲譽度的又一次重大打擊。2019年,有家安全研究機構披露,2.67億Facebook用戶數據在網上遭曝光。2018年,Facebook首席執行官馬克·扎克伯格因Facebook涉及劍橋分析公司丑聞而接受國會質詢。在丑聞中,這家政治咨詢公司獲取了近8700萬Facebook用戶的個人數據。
以下整理了關于此次大規模數據泄露事件的信息,以及如何保護自己免受黑客攻擊的建議。
數據是如何遭泄漏的?
本周初,Facebook在一篇博文中承認了數據泄露事件,稱黑客利用聯系人導入工具的一項功能,獲取了用戶數據。通常,人們會使用該工具掃描智能手機中的電話號碼和聯系人信息,從而在Facebook與他人建立聯系。
但加爾表示,Facebook聯系人導入工具的某一缺陷讓黑客有了可趁之機,可看到“與每個Facebook賬戶綁定的電話號碼”。正如安全專家米科·哈普寧在Twitter所提,黑客利用聯系人導入工具的漏洞,創建了“一個囊括全球所有電話號碼的通訊錄,然后再詢問Facebook這些‘朋友’是否使用Facebook。”
Facebook表示,當得知有黑客利用聯系人導入功能漏洞后,已于2019年修復了此問題。該公司表示,“重要的是”要留意,黑客并沒有“入侵”Facebook的系統,例如通過注入惡意代碼,削弱公司的安全防御體系。相反,該公司認為黑客是在從服務中“搜刮”數據。有批評人士指責該公司利用這種語義區別,試圖淡化數據泄露的嚴重性。
如何知道自己的數據是否被泄漏
訪問安全研究人員特洛伊·亨特創建的網站Have I Been Pwned (HIBP),查看自己的電郵或電話號碼是否在此次數據泄露事件中遭曝露。
Facebook未表示是否會通知個人資料遭泄露的用戶。
如何保護個人數據
受數據泄露事件影響的用戶應更新自己的密碼。安全研究人員加爾指出,Facebook表示正“從網上拿掉這些數據”,但尚不清楚他們是d如何能做到這一點的,因為搜刮數據的黑客已把數據賣給了其他人。
Facebook還表示,用戶應為賬戶開啟雙重認證,以此保護個人數據。
HIBP的運營者亨特建議,可使用1Password等安全服務,管理不同應用程序里的多個強密碼。(財富中文網)
譯者:Emily
Facebook有超5億用戶數據遭泄露,電話號碼、電郵地址等個人信息被黑客竊取。
上周末,網絡犯罪情報公司Hudson Rock的首席技術官阿隆·加爾披露了這起數據泄露事件。他在Twitter表示:“如果你有Facebook賬戶,那么賬戶關聯的電話號碼極有可能已遭泄露。”
遭泄露的信息包括Facebook賬號、定位信息、用戶全名、出生日期、電郵地址、賬戶創建日期、關系狀態和個人簡介等。加爾說,幾乎肯定的是,黑客會利用泄露數據實施網絡詐騙,包括“社會工程”攻擊。在這種攻擊中,黑客理論上會利用電話號碼等泄露數據,先與用戶建立信任,最終說服用戶透露更為重要的信息,比如社會安全碼。
此次泄露事件是對Facebook數據隱私聲譽度的又一次重大打擊。2019年,有家安全研究機構披露,2.67億Facebook用戶數據在網上遭曝光。2018年,Facebook首席執行官馬克·扎克伯格因Facebook涉及劍橋分析公司丑聞而接受國會質詢。在丑聞中,這家政治咨詢公司獲取了近8700萬Facebook用戶的個人數據。
以下整理了關于此次大規模數據泄露事件的信息,以及如何保護自己免受黑客攻擊的建議。
數據是如何遭泄漏的?
本周初,Facebook在一篇博文中承認了數據泄露事件,稱黑客利用聯系人導入工具的一項功能,獲取了用戶數據。通常,人們會使用該工具掃描智能手機中的電話號碼和聯系人信息,從而在Facebook與他人建立聯系。
但加爾表示,Facebook聯系人導入工具的某一缺陷讓黑客有了可趁之機,可看到“與每個Facebook賬戶綁定的電話號碼”。正如安全專家米科·哈普寧在Twitter所提,黑客利用聯系人導入工具的漏洞,創建了“一個囊括全球所有電話號碼的通訊錄,然后再詢問Facebook這些‘朋友’是否使用Facebook。”
Facebook表示,當得知有黑客利用聯系人導入功能漏洞后,已于2019年修復了此問題。該公司表示,“重要的是”要留意,黑客并沒有“入侵”Facebook的系統,例如通過注入惡意代碼,削弱公司的安全防御體系。相反,該公司認為黑客是在從服務中“搜刮”數據。有批評人士指責該公司利用這種語義區別,試圖淡化數據泄露的嚴重性。
如何知道自己的數據是否被泄漏
訪問安全研究人員特洛伊·亨特創建的網站Have I Been Pwned (HIBP),查看自己的電郵或電話號碼是否在此次數據泄露事件中遭曝露。
Facebook未表示是否會通知個人資料遭泄露的用戶。
如何保護個人數據
受數據泄露事件影響的用戶應更新自己的密碼。安全研究人員加爾指出,Facebook表示正“從網上拿掉這些數據”,但尚不清楚他們是d如何能做到這一點的,因為搜刮數據的黑客已把數據賣給了其他人。
Facebook還表示,用戶應為賬戶開啟雙重認證,以此保護個人數據。
HIBP的運營者亨特建議,可使用1Password等安全服務,管理不同應用程序里的多個強密碼。(財富中文網)
譯者:Emily
Data from over half a billion Facebook users was leaked online, potentially exposing personal information such as phone numbers and email addresses to hackers.
Alon Gal, the chief technology officer of cybercrime intelligence firm Hudson Rock, revealed the data leak this past weekend, saying via Twitter “that if you have a Facebook account, it is extremely likely the phone number used for the account was leaked.”
Some of the leaked information included Facebook IDs, location information, full names, birth dates, email addresses, account creation dates, relationship status, and bios. Gal said that it’s almost certain hackers will use the leaked data for online scams, including “social engineering” attacks. In such attacks, a hacker could theoretically use leaked data like a phone number to build trust with users, eventually persuading them to reveal more significant information like a Social Security number.
The data leak is another major blow to Facebook’s reputation in data privacy. In 2019, a security researcher revealed that the data of 267 million Facebook users was exposed online. In 2018, Facebook CEO Mark Zuckerberg was grilled by Congress over Facebook’s role in the Cambridge Analytica scandal, in which a political consulting firm accessed the personal data of nearly 87 million Facebook users.
Here’s what you need to know about the massive data leak and how to safeguard yourself from hackers.
How was the data leaked?
Facebook acknowledged the data leak earlier this week in a blog post, saying that bad actors obtained the data by exploiting a feature in the company’s contact importer tool. People use the tool to scan phone numbers and contact information from their smartphones so they can connect with them on Facebook.
But a flaw in Facebook’s contact importer tool made it possible for bad actors to see “the phone number linked to every Facebook account,” Gal said. As security researcher Mikko Hypponen pointed out on Twitter, attackers exploited the contact importer flaw to create “an address book with every phone number on the planet and then asked Facebook if his ‘friends’ are on Facebook.”
Facebook said it fixed the contact importer flaw in 2019 after it had learned hackers were exploiting it. The company said that it’s “important” to note that bad actors did not “hack” Facebook’s systems, such as by injecting malicious code that would weaken the company’s security defenses. Instead, the company said, bad actors “scraped” the data from its service, a semantic distinction that critics allege is the company’s attempt to downplay the severity of the data leak.
How to know if you were impacted
People can visit the website Have I Been Pwned (HIBP), created by security researcher Troy Hunt, to see if their emails or phone numbers were exposed in the data leak.
Facebook did not say whether it would notify users whose personal data was leaked.
How to protect your data
People who were impacted by the data leak should update their passwords. Facebook said that it’s “working to get this data set taken down,” but it’s unclear how the company would do so since the criminals who scraped the data have already sold it to others, security researcher Gal noted.
Facebook also said that people should enable two-factor authentication on their accounts in order to access them, as a way to protect themselves.
Hunt, who operates HIBP, recommends that people use a security service like 1Password to help manage multiple, strong passwords across different apps.
財富中文網所刊載內容之知識產權為財富媒體知識產權有限公司及/或相關權利人專屬所有或持有。未經許可,禁止進行轉載、摘編、復制及建立鏡像等任何使用。
