對(duì)于Facebook用戶來說，這可能是糟糕的一周。首先，F(xiàn)acebook公司被抓包其要求一些新用戶共享用于注冊(cè)的電子郵件帳戶密碼，而現(xiàn)在又被爆出新的隱私泄露問題。
1泄露數(shù)據(jù)來自第三方

近日，網(wǎng)絡(luò)安全公司UpGuard的研究人員在未受保護(hù)的亞馬遜云服務(wù)器上發(fā)現(xiàn)了超過5億條記錄，涉及數(shù)百萬Facebook用戶。暴露的數(shù)據(jù)集合不是直接來自Facebook。相反，它們是由第三方Facebook應(yīng)用程序開發(fā)人員在線收集和不安全存儲(chǔ)的。研究人員今天透露，他們發(fā)現(xiàn)了兩個(gè)數(shù)據(jù)集合：一個(gè)來自一家名為Cultura Colectiva的墨西哥媒體公司，另一個(gè)來自一個(gè)名為“At the pool”的Facebook集成應(yīng)用程序。這兩個(gè)數(shù)據(jù)集合可以在互聯(lián)網(wǎng)上公開訪問。

[[261473]]

Cultura Colectiva收集的數(shù)據(jù)集合大小超過了146 GB，涉及超過5.4億條Facebook用戶記錄，其中包括評(píng)論、喜歡、帳戶名稱，F(xiàn)acebook用戶ID等信息。

而屬于“At the Pool“應(yīng)用程序的第二個(gè)數(shù)據(jù)集合包括用戶的朋友列表、興趣、群組和簽到位置等信息，此外還包括“22000人的姓名、明文密碼和電子郵件地址”。

雖然UpGuard認(rèn)為數(shù)據(jù)集合中的明文密碼屬于“At the Pool”應(yīng)用程序而非用戶的Facebook帳戶，但鑒于人們經(jīng)常為多個(gè)應(yīng)用程序重復(fù)使用相同的密碼，因此仍存在利用此密碼嘗試登陸Facebook帳戶的風(fēng)險(xiǎn)。沒有人知道誰可以訪問這些數(shù)據(jù)以及它暴露給公眾的時(shí)間長(zhǎng)短，因此它目前被認(rèn)為是一種高安全風(fēng)險(xiǎn)。

UpGuard專家表示，“隨著Facebook的數(shù)據(jù)管理正面臨著嚴(yán)格的審查，他們已經(jīng)努力減少第三方訪問。但正如這些曝光數(shù)據(jù)所顯示的那樣，此前被第三方訪問的數(shù)據(jù)無法回收。Facebook用戶數(shù)據(jù)信息量之大已遠(yuǎn)遠(yuǎn)超出了Facebook所能控制的范圍。”

這兩個(gè)數(shù)據(jù)集合都存儲(chǔ)在不安全的亞馬遜S3 buckets中。目前在Upguard、Facebook和媒體聯(lián)系亞馬遜后，這些S3 buckets已經(jīng)被保護(hù)并脫機(jī)。

[[261475]]

2Facebook泄露用戶數(shù)據(jù)已成常態(tài)?

這不是第三方第一次收集或?yàn)E用Facebook用戶數(shù)據(jù)，甚至將其泄露給公眾的事件也時(shí)有發(fā)生。

最著名的事件當(dāng)屬劍橋分析公司(Cambridge Analytica)丑聞，這家政治數(shù)據(jù)分析公司通過一個(gè)看似無害的測(cè)驗(yàn)應(yīng)用程序不正當(dāng)?shù)厥占蜑E用8700萬用戶的數(shù)據(jù)，隨后導(dǎo)致Facebook面臨50萬歐元的歐盟罰款。2018年5月18日，這家曾經(jīng)受雇于特朗普競(jìng)選團(tuán)隊(duì)的美國政治咨詢公司劍橋分析公司在美國紐約依據(jù)《破產(chǎn)法》第七章，向美國曼哈頓聯(lián)邦破產(chǎn)法院提交破產(chǎn)清算申請(qǐng)。同時(shí)，劍橋分析的母公司——SCL Group的美國分公司SCL USA也在當(dāng)天向同一法院申請(qǐng)破產(chǎn)。

盡管Facebook自那時(shí)起就加強(qiáng)了隱私控制，確保第三方應(yīng)用程序正確使用其訪問權(quán)限，但Facebook仍然面臨著巨大的壓力和批評(píng)，因?yàn)樗鼪]有做到為其23億用戶提供更好的隱私和安全保障。

本次事件提醒了公眾，尤其是數(shù)據(jù)維護(hù)人員，大規(guī)模信息收集的固有問題：數(shù)據(jù)不會(huì)自然消失，廢棄的存儲(chǔ)位置可能會(huì)隨時(shí)成為“不定時(shí)炸彈”。