由于漏洞问题,一份包含5.33亿Facebook用户个人信息的数据库现在正在开放的网络上流传,同其他很多发生类似事件的公司不同,Facebook仍然没有对受影响的用户发出警告,到目前为止,除了强调泄露的数据是来自一个已经修补过的漏洞之外没有任何信息。
Facebook针对此事发表声明称,泄露的数据源于2019年曾经被媒体报道过的事件,而公司已经再2019年8月的时候发现并解决了这个问题。这意味着他们认为泄露的数据并非是最新的数据,但因此就可以认为那些数据不够重要而不对用户告知可能会出现的后果和危险吗?
Facebook还宣称,该漏洞与自家旗下的联系人导入工具有关。2019年9月,美国《福布斯》报道了这个问题,表示有一名安全研究人员发现,任何人都可以利用联系人导入工具输入一个随机的电话号码,然后找出它与哪个Facebook用户有关联。Facebook指出,该社交网络本身从未提供电话号码,此外,一旦一个电话号码与一个Facebook ID相匹配,那么只能提取该Facebook用户账户上已经公开且有限数量的信息。
看起来Facebook将事件描绘得有些微不足道,但很明显的是,有人滥用了这个漏洞来了解全世界各地电话号码背后的信息,而这个泄露的数据库包含的5.33亿用户无疑相当庞大,据分析,其中只有3200万来自于美国。根据已经报道的内容看,数据库根据电话号码、Facebook ID、全名、地理位置来进行排列,在某些情况下,还会包含婚姻状况、教育信息、电邮地址以及就职的公司等信息。
那么作为用户,如何来查明数据是否泄露了,而不需要去下载那一份容量高达20GB的数据库呢?美国“个人电脑杂志”给出了两个方法。
1、通过Haveibeenpwned.com网站,这是一个追踪数据泄露的网站,它收到了已泄露的Facebook数据库的副本,只要输入你的电子邮件地址,网站就会告诉你这个地址是否包含在已经泄露的数据库之中。不过,这个方法依然有缺陷,Haveibeenpwned.com的工作人员介绍,他们所拥有的数据库只包含2529621个不重复的电子邮件地址,只大约为已泄露数据库中所包含用户数量的0.5%。这主要是原因该数据库主要是通过电话号码来进行索引,而Haveibeenpwned.com不支持输入电话号码这一方式来查询,好在他们表示很快他们就会支持通过这一方式来让用户查询自己的信息是否已经被泄露。
2、澳大利亚的一位名叫David Johnstone的用户也创建了一个网站,可以支持用户通过在其上面输入电话号码的方式来查询自己的信息是否包含在已泄露的数据库中。不过,同Haveibeenpwned.com不同的是,这个域名为thenewusachday.com创建至今的时长只有不到2个月的事件,因此这个网站自身就存在着是否值得信任的问题。毕竟在一个未确定是否可信的网站上输入自己的电话号码也是一种风险,这并不是一个好主意。尽管David Johnstone声称自己的网站绝不会秘密的记录用户的电话号码,但同时,在面对媒体时他也坦承:“我不知道在创建这个工具时,收集数千个甚至更多的电话号码有多大用处,但很难或不可能证明我没有通过它去做任何邪恶的事情。”
因此,尽管有各种方式可以查询自己的信息是否泄露,但查询的过程本身也是有一种风险,但有一点可以确认的是,不管Facebook将事件如何的轻描淡写,但对个人而言,哪怕只有姓名和电话号码被泄露,都会产生风险,那些来自网络的攻击者就有可能会围绕它展开欺骗性的攻击。