立即打开
Facebook泄露5亿用户数据,只因一个Bug?

Facebook泄露5亿用户数据,只因一个Bug?

Jonathan Vanian 2021年04月08日
黑客利用联系人导入工具的漏洞,创建了一个囊括全球所有电话号码的通讯录。

Facebook有超5亿用户数据遭泄露,电话号码、电邮地址等个人信息被黑客窃取。

上周末,网络犯罪情报公司Hudson Rock的首席技术官阿隆·加尔披露了这起数据泄露事件。他在Twitter表示:“如果你有Facebook账户,那么账户关联的电话号码极有可能已遭泄露。”

遭泄露的信息包括Facebook账号、定位信息、用户全名、出生日期、电邮地址、账户创建日期、关系状态和个人简介等。加尔说,几乎肯定的是,黑客会利用泄露数据实施网络诈骗,包括“社会工程”攻击。在这种攻击中,黑客理论上会利用电话号码等泄露数据,先与用户建立信任,最终说服用户透露更为重要的信息,比如社会安全码。

此次泄露事件是对Facebook数据隐私声誉度的又一次重大打击。2019年,有家安全研究机构披露,2.67亿Facebook用户数据在网上遭曝光。2018年,Facebook首席执行官马克·扎克伯格因Facebook涉及剑桥分析公司丑闻而接受国会质询。在丑闻中,这家政治咨询公司获取了近8700万Facebook用户的个人数据。

以下整理了关于此次大规模数据泄露事件的信息,以及如何保护自己免受黑客攻击的建议。

数据是如何遭泄漏的?

本周初,Facebook在一篇博文中承认了数据泄露事件,称黑客利用联系人导入工具的一项功能,获取了用户数据。通常,人们会使用该工具扫描智能手机中的电话号码和联系人信息,从而在Facebook与他人建立联系。

但加尔表示,Facebook联系人导入工具的某一缺陷让黑客有了可趁之机,可看到“与每个Facebook账户绑定的电话号码”。正如安全专家米科·哈普宁在Twitter所提,黑客利用联系人导入工具的漏洞,创建了“一个囊括全球所有电话号码的通讯录,然后再询问Facebook这些‘朋友’是否使用Facebook。”

Facebook表示,当得知有黑客利用联系人导入功能漏洞后,已于2019年修复了此问题。该公司表示,“重要的是”要留意,黑客并没有“入侵”Facebook的系统,例如通过注入恶意代码,削弱公司的安全防御体系。相反,该公司认为黑客是在从服务中“搜刮”数据。有批评人士指责该公司利用这种语义区别,试图淡化数据泄露的严重性。

如何知道自己的数据是否被泄漏

访问安全研究人员特洛伊·亨特创建的网站Have I Been Pwned (HIBP),查看自己的电邮或电话号码是否在此次数据泄露事件中遭曝露。

Facebook未表示是否会通知个人资料遭泄露的用户。

如何保护个人数据

受数据泄露事件影响的用户应更新自己的密码。安全研究人员加尔指出,Facebook表示正“从网上拿掉这些数据”,但尚不清楚他们是d如何能做到这一点的,因为搜刮数据的黑客已把数据卖给了其他人。

Facebook还表示,用户应为账户开启双重认证,以此保护个人数据。

HIBP的运营者亨特建议,可使用1Password等安全服务,管理不同应用程序里的多个强密码。(财富中文网)

译者:Emily

Facebook有超5亿用户数据遭泄露,电话号码、电邮地址等个人信息被黑客窃取。

上周末,网络犯罪情报公司Hudson Rock的首席技术官阿隆·加尔披露了这起数据泄露事件。他在Twitter表示:“如果你有Facebook账户,那么账户关联的电话号码极有可能已遭泄露。”

遭泄露的信息包括Facebook账号、定位信息、用户全名、出生日期、电邮地址、账户创建日期、关系状态和个人简介等。加尔说,几乎肯定的是,黑客会利用泄露数据实施网络诈骗,包括“社会工程”攻击。在这种攻击中,黑客理论上会利用电话号码等泄露数据,先与用户建立信任,最终说服用户透露更为重要的信息,比如社会安全码。

此次泄露事件是对Facebook数据隐私声誉度的又一次重大打击。2019年,有家安全研究机构披露,2.67亿Facebook用户数据在网上遭曝光。2018年,Facebook首席执行官马克·扎克伯格因Facebook涉及剑桥分析公司丑闻而接受国会质询。在丑闻中,这家政治咨询公司获取了近8700万Facebook用户的个人数据。

以下整理了关于此次大规模数据泄露事件的信息,以及如何保护自己免受黑客攻击的建议。

数据是如何遭泄漏的?

本周初,Facebook在一篇博文中承认了数据泄露事件,称黑客利用联系人导入工具的一项功能,获取了用户数据。通常,人们会使用该工具扫描智能手机中的电话号码和联系人信息,从而在Facebook与他人建立联系。

但加尔表示,Facebook联系人导入工具的某一缺陷让黑客有了可趁之机,可看到“与每个Facebook账户绑定的电话号码”。正如安全专家米科·哈普宁在Twitter所提,黑客利用联系人导入工具的漏洞,创建了“一个囊括全球所有电话号码的通讯录,然后再询问Facebook这些‘朋友’是否使用Facebook。”

Facebook表示,当得知有黑客利用联系人导入功能漏洞后,已于2019年修复了此问题。该公司表示,“重要的是”要留意,黑客并没有“入侵”Facebook的系统,例如通过注入恶意代码,削弱公司的安全防御体系。相反,该公司认为黑客是在从服务中“搜刮”数据。有批评人士指责该公司利用这种语义区别,试图淡化数据泄露的严重性。

如何知道自己的数据是否被泄漏

访问安全研究人员特洛伊·亨特创建的网站Have I Been Pwned (HIBP),查看自己的电邮或电话号码是否在此次数据泄露事件中遭曝露。

Facebook未表示是否会通知个人资料遭泄露的用户。

如何保护个人数据

受数据泄露事件影响的用户应更新自己的密码。安全研究人员加尔指出,Facebook表示正“从网上拿掉这些数据”,但尚不清楚他们是d如何能做到这一点的,因为搜刮数据的黑客已把数据卖给了其他人。

Facebook还表示,用户应为账户开启双重认证,以此保护个人数据。

HIBP的运营者亨特建议,可使用1Password等安全服务,管理不同应用程序里的多个强密码。(财富中文网)

译者:Emily

Data from over half a billion Facebook users was leaked online, potentially exposing personal information such as phone numbers and email addresses to hackers.

Alon Gal, the chief technology officer of cybercrime intelligence firm Hudson Rock, revealed the data leak this past weekend, saying via Twitter “that if you have a Facebook account, it is extremely likely the phone number used for the account was leaked.”

Some of the leaked information included Facebook IDs, location information, full names, birth dates, email addresses, account creation dates, relationship status, and bios. Gal said that it’s almost certain hackers will use the leaked data for online scams, including “social engineering” attacks. In such attacks, a hacker could theoretically use leaked data like a phone number to build trust with users, eventually persuading them to reveal more significant information like a Social Security number.

The data leak is another major blow to Facebook’s reputation in data privacy. In 2019, a security researcher revealed that the data of 267 million Facebook users was exposed online. In 2018, Facebook CEO Mark Zuckerberg was grilled by Congress over Facebook’s role in the Cambridge Analytica scandal, in which a political consulting firm accessed the personal data of nearly 87 million Facebook users.

Here’s what you need to know about the massive data leak and how to safeguard yourself from hackers.

How was the data leaked?

Facebook acknowledged the data leak earlier this week in a blog post, saying that bad actors obtained the data by exploiting a feature in the company’s contact importer tool. People use the tool to scan phone numbers and contact information from their smartphones so they can connect with them on Facebook.

But a flaw in Facebook’s contact importer tool made it possible for bad actors to see “the phone number linked to every Facebook account,” Gal said. As security researcher Mikko Hypponen pointed out on Twitter, attackers exploited the contact importer flaw to create “an address book with every phone number on the planet and then asked Facebook if his ‘friends’ are on Facebook.”

Facebook said it fixed the contact importer flaw in 2019 after it had learned hackers were exploiting it. The company said that it’s “important” to note that bad actors did not “hack” Facebook’s systems, such as by injecting malicious code that would weaken the company’s security defenses. Instead, the company said, bad actors “scraped” the data from its service, a semantic distinction that critics allege is the company’s attempt to downplay the severity of the data leak.

How to know if you were impacted

People can visit the website Have I Been Pwned (HIBP), created by security researcher Troy Hunt, to see if their emails or phone numbers were exposed in the data leak.

Facebook did not say whether it would notify users whose personal data was leaked.

How to protect your data

People who were impacted by the data leak should update their passwords. Facebook said that it’s “working to get this data set taken down,” but it’s unclear how the company would do so since the criminals who scraped the data have already sold it to others, security researcher Gal noted.

Facebook also said that people should enable two-factor authentication on their accounts in order to access them, as a way to protect themselves.

Hunt, who operates HIBP, recommends that people use a security service like 1Password to help manage multiple, strong passwords across different apps.

最新:
  • 热读文章
  • 热门视频
活动
扫码打开财富Plus App