Facebook 漏洞災難、600 萬資料公開任睇
無論是商用還是私人用途,Facebook 已經成為我們每天必定會瀏覽的社交網絡;而經常使用 Facebook 亦開始令商業用戶、個人用戶進一步將私密資料放到 Facebook 帳戶之中,因此一旦 Facebook 被發現出了問題,都會引起很大迴響。
我們相信 Facebook 本身亦明白到其平台安全的重要性,這點由她們招聘安全專家推斷得到,不過並非所有漏洞都能由 Facebook 安全專家第一時間發現得到,就好像今天公佈的漏洞,便是由第三方的專家透過 White Hat 計劃向 Facebook 提交漏洞資訊所得。
今次 Facebook 於網站中主動公佈有關漏洞,並稱該漏洞已令 600 萬 Facebook 帳戶資料外洩,情況非常嚴重。有關漏洞容許用戶透過 Download Your Information (DYI) 工具下載不同 Facebook 朋友的用戶資料,同時更可將「朋友的朋友」資料一併下載回來,所有資訊可謂一目了然。
Facebook 解釋為什麼會出現這情況。首先當用戶分享了其聯絡人清單後,Facebook 系統便會自動從資料庫之中找出與用戶手機中的聯絡人清單擁有相同聯絡資訊特徵的 Facebook 帳戶,然後再向用戶發出「朋友建議」,讓大家能在 Facebook 中更容易找到與自己最有關連性的親朋好友。
為了要達到上述功能,Facebook 系統會不經意的將這些帳戶聯絡資訊分派到不同的 Facebook 帳戶之中,藉以提升聯絡資訊準確性。舉個例子,例如 Facebook 帳戶之中本身並沒有填上聯絡電話,但假如你其中一位朋友在建立 Facebook 帳戶時容許 Facebook 存取其手機之中的聯絡資料時,Facebook 便會自動為不同的 Facebook 帳戶「完善」其 Faceook 聯絡資訊,這些資訊雖然並不會直接顯示於網站之中,但卻可透過進階用戶常用的 Download Your Information (DYI) 工具一次抓取出來,令用戶的私隱資訊全外洩。有關工具現時已被 Facebook 暫時停用,Facebook 指將會在修正有關漏洞後才再次推出相關工具。
至於被洩漏的資料可多了,除了有上述提到的電話號碼之外,用戶的私人電郵亦在洩漏之列。幸好 Facebook 強調透過 DYI 工具下載用戶資料的次數不多,而且幾乎肯定資料並非由廣告商或黑客所下載的,至於如何確定 Facebook 則沒有提及。最後 Facebook 稱仍未收到任何用戶投訴,但仍為事件感到抱歉。她們指將進一步更強安全工作,並盡能力確保類似事件不再發生。假如你的帳戶在資料外洩帳戶名單之中,Facebook 將會於日內發電郵通知並作進一步的跟進工作。