超2.67亿脸书用户个人信息泄露 被摧毁前数据库在暗网上分享

继剑桥分析丑闻之后， Facebook又被曝光一起重大数据泄露事件。

据英国《每日邮报》报道，当地时间12月19日，一个包含超过2.67亿Facebook用户ID、姓名以及电话号码等信息的网络数据库被公开，有两周时间它可以被任何人访问，也曾被发布在黑客论坛上。Facebook发言人表示，目前该数据库已经被摧毁。

网络安全公司Comparitech的研究员Bob Diachenko最早在暗网上发现了该数据库。该数据库包含了267140436条记录，每条记录包括Facebook用户的ID、姓名以及电话号码等个人信息，且受影响的大多数用户来自美国。其中，Facebook ID是与特定账户相关的唯一公共号码，可以用来识别账户的用户名和其他简介信息。

Diachenko称，该数据库于12月4日首次在网络上出现，于12日在黑客论坛上被公开共享，19日起不能再使用。Diachenko发现该数据库后，立即向管理IP地址的互联网服务提供商发送了滥用报告。

尽管尚不清楚这些信息是如何被公开的，但Diachenko在追溯该数据库时最终追溯到了越南。Diachenko表示，Facebook的API（应用程序接口）也可能存在一个安全漏洞，允许犯罪分子即使在访问受到限制后也能访问用户的ID和电话号码。

他还猜测到，这些数据还可能是在没有使用Facebook API的情况下被窃取的。由于很多人将Facebook的个人资料设置为public（公开可见），因此恶意分子可以通过“抓取(Scraping)”的方式，利用自动机器人快速筛选大量网页，将数据从每个网页复制到数据库中。

Facebook发言人向《每日邮报》证实，目前该数据库已经被摧毁，“我们正在调查此问题。我们认为这些信息极有可能是在我们调整之前收集的。” 2018年4月剑桥分析丑闻之后，Facebook开始限制访问电话号码，这些数据可能是被Facebook禁用的工具收集的。

据悉，同样的情况还发生在今年9月，存储了4.19亿条与Facebook账户关联的电话号码数据库同样被曝光。Facebook发言人当时表示，实际上被泄露的用户数据大约是2.1亿，因为4.19亿数据中有很多重复。据外媒报道，2018年4月以前Facebook允许用户通过电话号码搜索别的用户，这看似是一个良性工具，但其实个人的数据也很容易被抓取工具劫持。

此外，Comparitech公司表示，这样庞大的数据库很可能会被应用于网络钓鱼或者垃圾邮件，Facebook用户应该留意可疑短信。所以，该公司也提示Facebook用户，即使发信人知道你的名字或者你的一些基本信息，也要对任何未经证实的信息持怀疑态度。

综合/编译：南都见习记者 李慧琪