Facebook 成功阻止不法之徒非法取得電話號碼
Facebook 最近發現黑客可通過其流動網站大量收集電話號碼,因此限制用戶搜尋電話號碼的次數。Facebook 於網站發表聲明,聲稱有關問題並非程式錯誤。根據 Facebook 用戶私穩設定的預設值,任何人都可以利用你所提供的電郵地址、電話號碼及其他聯絡資料來搜尋你的個人資訊。用戶可以隨時在 Facebook 的私隱設定頁面更改有關設定。
上周一間獨立安全研究機構公開披露濫用 Facebook 電話搜尋功能的方法,不法之徒只要隨機產生大量電話號碼,便可以大量收集用戶資料。Facebook 要求用戶為其帳戶設定附屬的電話號碼才可使用多項額外功能,包括可加強帳戶安全的雙因子驗證選項。此外,Facebook 網站亦讓用戶利用電話號碼搜尋其擁有者的個人資料。
然而,以往 Facebook 未有限制用戶的搜尋次數,因此不法之徒可隨機產生數以千計的電話號碼,再利用 Facebook 網站的搜尋功能來找出這些號碼是否附屬於 Facebook 帳戶。他們可根據所找到的電話號碼來獲取有關用戶的 Facebook 個人資料,然後建立一個電話號碼資料庫,再出售予廣告商圖利,甚至用以進行電話詐騙。該獨立安全研究機構公開有關消息後,其他安全研究公司分別進行驗證,證實了漏洞確實存在。Facebook 雖然宣稱已解決該問題,但若有類似的漏洞,以下的解決方案或許能夠幫到大家:
– 防止資料外洩方案:防止敏感數據通過電郵、即時訊息、網站及 FTP 從企業網絡流出。
– 防止資料外洩方案(Endpoint):阻止檔案下載至近端儲存裝置;複製至 USB 或其他可卸除式儲存裝置;燒錄至光碟;通過電郵、即時訊息、HTTP/HTTPS 或 FTP 傳送;複製及貼上;列印或通過電子傳真方式外洩。
– 以政策進行保護工作:通過基於政策的保護措施來加強伺服器防護,防止未獲授權人士及應用程式獲取敏感資訊或修改系統登錄項目。現時坊間亦有方案可預防受保護伺服器內的數據被移離伺服器以外。同時更可封鎖伺服器操作系統,阻止攻擊者通過破壞操作系統來入侵應用程式。
*上述資料由 Symantec 香港系統工程經理李輝建議提供