译文声明

本文是翻译文章,文章原作者Ax Sharma,文章来源:https://www.bleepingcomputer.com
原文地址:https://www.bleepingcomputer.com/news/security/facebook-attributes-533-million-users-data-leak-to-scraping-not-hacking/

译文仅供参考,具体内容表达以及含义原文为准

安全研究专家特洛伊·亨特(Troy Hunt)也表达了自己对此次数据泄露事件的看法:
网络犯罪情报公司Hudson Rock的首席技术官阿隆•加尔(Alon Gal)是第一个曝光此次数据泄露事件的人,他认为这一次Facebook的反应毫无疑问就是在“忽悠”用户。

打开网易新闻 查看更多图片

事件概况

据报道,Facebook目前已发布公开声明,并澄清了最近这次数据泄露事件的原因,除此之外还解决了一些用户与此次事件相关的担忧。

就在上周,一个黑客论坛上出现了大约5.33亿个Facebook用户的个人资料信息。此次泄露的数据,即在网络犯罪论坛上发布的数据包括Facebook用户的电话号码、Facebook ID、全名、出生日期、性别和地理位置。而且,泄漏的数据相当完整,几乎每个用户记录都包含了上述泄露信息。

根据研究人员对泄露数据的分析,在此次受数据泄露事件影响的用户中,美国地区就有3230万受影响用户,而英国也有1150万。

该公司表示,被曝光的信息并非来自于网络犯罪分子针对Facebook服务器系统的黑客攻击,而是攻击者在2019年9月之前从公开资料中获取的。

公告中的其他数据项包括Facebook用户的性别、地点和工作状态。除此之外,研究人员还在报告中提到,他们所检查的泄露数据样本真实性已经得到了Facebook方面的验证。

研究人员表示,这些泄露数据可以按国家分类进行数据包下载。

Facebook将此次数据泄露事件归结于网络爬虫

Facebook近期泄露了5.33亿用户的个人资料信息,而其中的被盗数据在上周竟被发布在一个黑客论坛上。研究人员表示,这些泄露数据可以按国家分类进行分包下载。研究人员还在报告中提到,他们所检查的泄露数据样本真实性已经得到了Facebook方面的验证。

在几个小时之前发布的一份公开声明中,Facebook方面表示,此次数据泄露事件是由网络爬虫所引起的,攻击者使用了网络爬虫来爬取与这些用户个人资料相关的信息,其中就包括泄露的Facebook用户的电话号码、Facebook ID、全名、出生日期、性别和地理位置。

Facebook在公告中提到:“这种情况属于科技公司与网络犯罪分子之间的敌对博弈,攻击者会故意使用各种手段来破坏我们社交媒体平台的安全政策,并从互联网服务中提取他们所想要的信息。”

Facebook的产品管理总监迈克•克拉克(Mike Clark)在一份声明中表示:“我们的技术人员目前正在采取积极的行动,我们也有充足的信心,让这些网络犯罪分子在2019年窃取的信息不再对我们的用户产生影响,并彻底解决实际的问题。”

屋漏偏逢连夜雨,就在此次数据泄露事件被曝光之后,欧盟数据监管机构爱尔兰数据保护委员会(DPC)也开始着手调查这一事件了。

当这一数据泄露事件的细节最初被披露时,Facebook的一位发言人很快宣布这是一条很老的新闻了,因为该公司已经解决了相关的问题。

这位发言人表示,这些数据是在2019年被泄露的,而该公司在当年8月就已经修复了这个漏洞。

Facebook公司认为,早在2019年9月,网络犯罪分子就利用了Facebook的“联系人导入”功能,并使用网络爬虫从用户的Facebook个人资料中爬取了此次被曝光的泄露数据。

Facebook的技术人员表示:“这个功能的主要目的是为了帮助人们使用联系人列表,并在Facebook的服务中轻松找到自己的好友并与他们交流。当我们在2019年意识到网络犯罪分子是如何滥用此功能的时候,我们就修改了通讯录的运行机制,并修复了相关的漏洞。这样也是为了防止网络犯罪分子使用恶意软件来伪装我们的应用程序,然后上传大量电话号码来查看哪些能与我们Facebook的用户匹配到。”

在部署这些修改后的运行机制之前,任何人都可以查询Facebook的终端节点,并从用户配置文件中获取有限的公共数据集。

但是,该公司又澄清说,这些信息并不包括Facebook用户的个人财务信息、健康信息或密码。

Facebook的这种说法并不能让所有人满意

虽然Facebook将此次数据泄露事件归咎于网络爬虫,但这种行为一般都会涉及到从公开互联网服务中收集公共信息。

在此次事件中,网络犯罪分子利用了Facebokk联系人导入工具功能中的一个安全漏洞,并能够从中批量查询私人电话号码,并利用网络爬虫爬取返回的相关公开信息。

这样一来,攻击者将能够通过反复大量查询电话号码,然后创建一个庞大的Facebook用户列表,其中将包括Facebook用户的电话号码和网络爬虫所爬取到的公共信息。

但是,Facebook将此次数据泄漏事件甩锅给网络爬虫的行为,并不能得到安全社区所有人的认同。Facebook绑定的电话号码你又会多久更换一次呢?还有泄露的用户全名和出生日期,这些数据会改变吗?很明显,这些信息也不太可能改变。这些个人信息仍然是网络犯罪分子的“香饽饽”,并且很可能与新冠疫情相关的网络犯罪结合在一起使用。

Infosec安全博客的博主约翰·奥德纳克(John Opdenakker)还公开表示,Facebook公司的这一回应真是令人感到“悲哀”。

打开网易新闻 查看更多图片

广大Facebook用户可以通过“Have I Been Zucked”之类的数据泄露监控服务来查询自己的Facebook邮件地址或绑定的手机号码,以了解自己是否受到了此次数据泄露事件的影响。

欢迎登录安全客 -有思想的安全新媒体www.anquanke.com/加入QQ交流群1015601496 获取更多最新资讯

原文链接:https://www.anquanke.com/post/id/237762