第三方Facebook应用程序公开了5.4亿用户的细节
在剑桥分析数据共享丑闻之后,研究人员发现了属于另外两个第三方的Facebook应用程序的公开暴露的数据商店。
安全公司Upguard的网络风险团队发现了一个来自墨西哥媒体公司Cultectiva的一家数据存储,146CB,含有超过5.4亿的记录,详细说明评论,喜欢,反应,帐户名称,Facebook ID等。
从一个名为“池”的Facebook集成应用程序的单独备份也被发现通过Amazon S3桶(包含Facebook用户ID,Friends,喜欢,音乐,密码和22,000名用户的列)暴露给公共互联网。
然而,发现团队表示,密码可能是因为“在池中”应用程序,而不是用户的Facebook帐户,但表示密码以纯文本存储,这将使用户在跨帐户重复使用相同密码的风险。
Upguard团队还指出,该应用程序似乎在2014年停止了运营,并提出了该应用程序的姓名,密码,电子邮件地址,Facebook ID和其他详细信息在未知时间段内公开公开公开的优化。
尽管Facebook在剑桥Analytica Scandal伴随着减少了第三方访问用户数据的努力,但其发现表明“数据Genie无法放入瓶子”,并且关于Facebook用户的数据远远超出Facebook今天可以控制的界限。
“将个人数据的宽大与往往是公共访问的误解,结果是关于Facebook用户的长期数据,继续泄漏,”他们在博客帖子中说。
虽然upguard仍在调查其可能的起源,但“池”数据的“池”数据被剥离了。如果有托管期间失效,或者如果负责任的缔约方当时意识到曝光,则调查人员不知道这是巧合。
另一方面,upguard表示,在Bloomberg与Bloomberg联系以2019年4月3日发表评论后,Cultura Colectiva数据仅在Facebook发表评论后获得了担任意见,尽管在1月10日并在四天后跟进了这一公司。Upguard还于1月29日通知了亚马逊网络服务,他联系了文化联合素质。
发现突出了“大众信息收集的内在问题”,这是它不自然地消失,并且举端的团队表示,遗弃储存位置可能或可能不会被赋予它所需的注意力。
对于Facebook上的应用程序开发人员来说,他们表示,该平台的一部分的吸引力是访问由Facebook用户生成的某些数据的一片。
对于Cultura Colectiva,对每个帖子的响应的数据允许他们调整算法,以预测哪些未来内容将产生最多的流量。
“没有Facebook中每个集合中暴露的数据都不存在,但这些数据集不再在Facebook的控制下,”Upguard Team表示。
“在每种情况下,Facebook平台有助于收集有关杀戮的数据及其转移到第三方,他们对其安全负责。因此,用于保护Facebook用户数据的表面积是庞大而异的,并且保护它的责任在于,拥有数百万的应用程序,他们已经建立在其平台上。“
在上下文中,网络安全公司首席执行官Ilia Kolochenko的数据发现表示,泄漏不像首次出现那样戏剧性。
“5.4亿记录数据库主要包含可公开访问的数据,而明文中的密码的第二个数据库只包含22,000条记录是2018年泄露凭证的海洋下降。“真正的问题是,大多数数据[据报道,Facebook与其合作伙伴共享]仍然存在某个地方,其中许多不受控制的备份和未经授权的副本,其中一些是在黑色市场上销售。无法控制这些数据,用户的隐私是巨大的风险。
“即使他们改变密码,例如私人讯息(例如,搜索历史)的其他数据也将保持在某个地方,并且经常在肆无忌惮的第三方手中。“Facebook现在可能面临着众多的多型民事诉讼和阶级行动,更不用说巨大的货币罚款和当局的其他制裁。”虽然Facebook有关于如何使用和存储数据的规定,但Facebook的几乎没有裁减这些策略,才能在一些损坏完成后,Paul Bischoff,Paul Bischoff,Consumer Support网站Comparitech.com。
“剑桥分析是最高的配置文件,导致Facebook如何与第三方开发人员互动的一些重大变化,但我怀疑有许多坐在他们不应该的Facebook数据的Trovers的Facebook数据,包括这些。即使Facebook有限公司是第三方开发人员可以访问的信息,仍然没有任何Facebook可以做任何关于滥用或误操作的信息,直到事实发生。“
Renaud Deraison,首席技术官和工友联合创始人所说的看起来像Facebook在合作伙伴如何处理网络安全方面没有强制执行指导。
“只要网络安全仍然是数字经济的事后,我们将继续看到这些易于预防的数据泄漏,”他说。
安全公司Tripwire的副校长,产品管理和战略副总裁,表示,组织不能通过将其转移到云端来转移抗解性数据的责任。
“当它在技术上不断监视亚马逊存储设置的情况下,没有保护您的客户DataFrom这种类型的Breach.Facebook已被捕获,就像许多其他人一样,没有借口。 “
安全公司Cyber ay的首席安全官Sam Curry表示,Facebook的下一步应该包括使隐私是核心价值。
“创建一个拥有隐私,员工的高级帖子,并返回它。然后宣布调查90天。致电独立顾问和观察员。然后花30天创建并发布计划,以解决家中的破坏,同时冠军,促进隐私,以绘制行业的课程。“