Facebook被指無意中曝光上億條用戶數據 股價轉跌

圖片來源：攝圖網

4月3日周三美股午盤后，據彭博社率先披露，美國網絡安全公司UpGuard發現，上億條保存在亞馬遜AWS云計算服務器上的Facebook用戶信息記錄，無意中可以被任何人輕易地公開獲取。

最新的數據暴露（data exposure）丑聞令Facebook股價短線跳水轉跌0.2%，此前一度漲2%，日高接近178美元，也是近八個月最高。最終Facebook收跌0.4%，股價仍超過173美元，接近2018年9月初以來高位。

此前在周二美股時段，Facebook曾觸及174.90美元，創2018年8月31日以來的逾七個月盤中新高，當日收漲3.26%，領漲FAANG五大科技股。今年以來Facebook累漲30%，從去年12月低點反彈40%。

最新消息顯示，Facebook發言人對各大主流媒體承認，用戶的多組個人數據被存放在亞馬遜AWS數據庫中，一被告知這個問題，公司便與亞馬遜合作刪除了有問題的數據庫。該發言人重申，Facebook的政策禁止將FB信息存儲在公共數據庫中，尚沒有證據表明數據被濫用，但正在調查。

UpGuard網絡風險團隊的原文帖子顯示，又發現兩個由第三方開發的Facebook應用抓取的用戶數據集，被暴露在公共互聯網中。

其中一組來自墨西哥數字媒體公司Cultura Colectiva，在不設任何密碼的情況下，該公司在亞馬遜S3存儲服務器上留下了超過5.4億條Facebook用戶記錄，包括他們的評論、點贊、反應、帳戶名稱、Facebook ID號等，不設置密碼等于任何人都可以訪問這些數據，容量高達146 GB。

第二組來自2014年就已下線的Facebook第三方開發應用程序At the Pool，數據集被存放在另一個亞馬遜S3云存儲服務器中，雖然容量不是很大，但包含了更多敏感信息，包括從2.2萬多個Facebook用戶處抓取的信息，例如用戶的朋友列表、電郵地址、興趣、照片、小組、簽到等。

來自At the Pool的數據庫還包含未加密的Facebook用戶密碼，UpGuard公司認為，這些密碼很可能是這一應用程序本身的密碼，而不是用戶的Facebook賬號密碼。但由于不清楚這些數據集在互聯網公開場所被暴露了多久，如果用戶在各種應用中使用相同密碼，可能面臨風險。

UpGuard網絡風險研究主管Chris Vickery對多家媒體表示，這一最新發現繼續凸顯了困擾大規模數據收集公司的問題：“存儲從終端用戶那里收集來的個人信息是一種負擔，擁有的越多，責任就越大”，而且Facebook無法保證終端用戶的數據被安全儲存。該公司總結稱：

“最新發現說明，Facebook用戶數據的散布程度已經遠遠超過了FB公司可以控制的范圍。

這些個人數據依賴Facebook產生，但FB卻控制不了。在上述每種情況下，Facebook平臺幫助第三方應用開發者收集并轉移了個人數據，卻由第三方負責保證這些數據的安全。

考慮到被抓取的個人數據豐富程度，以及錯誤配置后可供公共訪問的存儲技術，導致Facebook用戶的長尾數據繼續被泄露。

上述兩種情況也說明了大規模信息收集/抓取的固有問題：數據不會自然消失，被廢棄的存儲位置可能沒有得到足夠的重視和保護。”

科技媒體TechCrunch指出，UpGuard公司在2018年曾發現了Localblox公司抓取的4800萬條Facebook用戶信息記錄被不當存儲。彭博社指出，UpGuard還發現了10萬個開放的亞馬遜托管數據庫，用來存儲各種類型的數據，而有些數據本不應被公開。

華爾街見聞曾提到，今年3月下旬（兩周前），網絡安全記者Brian Krebs發布報告稱，Facebook存儲了多達6億個沒有加密的用戶帳戶密碼。這些賬戶密碼可以作為純文本，給成千上萬名FB員工查看。當時Facebook在一篇博文中證實了這一報道，不過沒有說明有多少用戶受到影響。

最早報道這一新聞，并促使Facebook聯絡亞馬遜刪除了高風險數據庫的彭博社分析稱，事件表明，在英國劍橋分析公司泄露8700萬Facebook用戶數據的丑聞揭露一年后，控制這些信息產生、傳播和存儲的每一步所涉及公司們，仍沒有做好足夠的工作來保護個人數據安全。

（華爾街見聞 杜玉）