Facebook 新漏洞:4.19 亿用户手机号码可公开访问,或遭遇重大安全风险

阅读数:4977 2019 年 9 月 5 日 11:11

Facebook新漏洞:4.19亿用户手机号码可公开访问,或遭遇重大安全风险

数个手机号码数据库可在网上公开访问,涉及用户高达 4.19 亿,Facebook 或再次陷入数据泄露漩涡。

Facebook新漏洞:4.19亿用户手机号码可公开访问,或遭遇重大安全风险

Techcrunch 报道,与 Facebook 账户相关联的数亿个电话号码可以在网上公开看到。

据悉,被暴露的服务器包含超过 4.19 亿条记录,涉及不同国家或地区的几个数据库。其中,包括美国 Facebook 用户的 1.33 亿条记录,英国的 1800 万用户记录和越南超过 5000 万的用户记录。

但是,由于服务器没有设置密码保护,任何人都可以找到这个公开数据库并访问。每条记录都包含用户唯一的 Facebook ID 和账户中列出的电话号码。
Facebook新漏洞:4.19亿用户手机号码可公开访问,或遭遇重大安全风险

众所周知,用户的 Facebook ID 通常是与其账户相关联的电话号码,可以轻松识别出账户的用户名。因 Facebook 限制访问用户的电话号码,因此电话号码在一年多的时间内尚未被公开。

TechCrunch 通过将已知 Facebook 用户的电话号码与列出的 ID 相匹配,验证数据库中的多条记录。一些记录数据还包括用户的姓名、性别、所在国家 / 地区的位置。

TechCrunch 的安全编辑 Zack Whittaker 发推文称,“虽然 Facebook 表示这些数据在历史上被擦除,但是我们测试的这些电话号码仍然有效。”
Facebook新漏洞:4.19亿用户手机号码可公开访问,或遭遇重大安全风险

自剑桥分析公司丑闻以来,这是涉及 Facebook 用户数据的最新安全失误。除剑桥分析公司丑闻之外,Facebook 已经连续发生好几起类似事情,其中包括 Instagram 数据事件。

最新发生的事情,仅仅通过他们的 Facebook ID 即暴露了数百万用户的电话号码,让他们面临垃圾电话和 SIM 卡交换攻击的风险。

SIM 卡交换攻击,通过欺骗电信运营商,将目标用户的手机号码转移到犯罪分子的 SIM 卡上。一旦犯罪分子控制目标用户的手机号码,就能利用它来重置受害者的密码并登录他们的在线账户。

一位安全研究员兼 GDI 基金会成员 Sanyam Jain,无法找到数据库所有者,因此联系 TechCrunch。

在 TechCrunch 联系到网络主机所在服务商后,数据库被下线。Facebook 发言人 Jay Nancarrow 表示,在 Facebook 切断对用户电话号码的访问前,数据已经被擦除。

“这个数据集很旧,并且被删除,我们没有看到任何证据表明 Facebook 账户遭到入侵。”发言人说。

长期以来,Facebook 一直限制开发者访问用户电话号码。并且,该公司还使让搜索朋友的电话号码变得更困难。但是,数据似乎被加载到被暴露的数据库中——尽管这并不一定意味着数据是新的。

在 TechCrunch 看来,这一最新数据暴露的是在线和公开存储的数据,没有设置任何密码,可任意访问。尽管数据泄露经常与人为错误相关而非恶意攻击,但这仍然代表着新出现的安全问题。

相关文章:
https://techcrunch.com/2019/09/04/facebook-phone-numbers-exposed/

评论

发布