一些安全专家表示,此前被盗的5.33亿Facebook用户记录在暗网的一个论坛上被公开,这种量级应该会引起各个机构在接下来的时间里展开行动,以进一步的保护客户数据安全,而不是像Facebook这样不光泄露庞大的用户数据,甚至还嘴硬宣称影响不大。
卡耐基梅隆大学Cylab安全与隐私研究所(Security and Privacy Institute)主任罗莉•克兰诺(Lorrie Cranor)表示,尽管论坛上公开发布的数据已有好几年历史,但仍然存在风险,因为其中很多数据(包括电话号码)可能仍然有效。
克兰诺说:“这次入侵并没有泄露密码或金融账户信息,但它泄露的信息肯定对某些攻击者有用,使他们更容易冒充他人并破坏账户。”
克兰诺也对企业提出了建议,她认为作为企业,应该首先检查自己设定的密码重置过程是否合理,要确保被入侵的信息不足以重置密码和接管某人的账户。同时,只要双因素身份验证可用,就应该告知用户去使用它,一定要多教育用户,因为这个方法是最简单且行之有效的,并已经被多次证明了的。
Synopsys网络安全研究中心首席安全策略师蒂姆•麦基(Tim Mackey)表示,企业应尽量减少从客户那里收集的数据量也很重要。同时他还认为,客户也应该加强意识,“让与他们共享数据的人对数据的安全负责”。此外,更有安全专家认为,那些还在希望社交媒体公司能够收集更多个人信息的人应该遭到谴责!
来自KnowBe4的詹姆斯·麦奎根(James McQuiggan)则认为,各行各业的企业、机构或组织都应该甚至是必须要培训他们的员工,让他们有能力发现攻击者利用被泄露的数据所发起社工攻击。
相关事件情况
2021年1月,有安全专家在一个暗网论坛上发现了Facebook的数据库,而且正处在销售中的状态。在那之后没多久,攻击者直接取消了收款选项,从而将数据开放给了任何可以访问这个论坛的人。
根据媒体报道的情况看,在这份包含了5.33亿用户信息的数据库中,其用户来自于106个国家,包含电话号码、Facebook ID、姓名、住址、过去的住址、出生日期,在某些情况下,还包括电子邮件地址、账户的创建日期以及账户所有者所提供的个人信息。
Facebook对此表示,这些数据是此前在2019年就被曝光过的,当时攻击者是利用了一个已经被修补过的漏洞获取了这些内容。
Facebook应该担当什么样的责任?
Cybereason首席安全官山姆•库里表示,在Facebook数据在暗网论坛上发布之后,这家社交媒体巨头应该采取更进一步的行动。
库里认为:“现在不是Facebook扮演受害者的时候,他们只有两个选择:当英雄或者当恶棍。许多人认为Facebook是行业的恶棍,他们的想法不会改变。毫无疑问,这是Facebook直面挑战的又一次机会,他们需要更新用户的隐私政策,并继续尽一切可能保护他们用户的数据。”
事实上,Facebook已经不止一次的出现这样的问题,在2018年,3000万个Facebook账户遭到入侵,1400万个账户的大量信息被暴露在网络上。
再往前看,2015年,剑桥分析公司收集了高达8700万名Facebook用户的个人资料,据媒体报道,他们利用了这些数据来分析用户心理,用于策划政治广告活动,该公司还曾经为美国前总统的竞选活动工作过一段时间,不过在2018年5月时,这家公司已经宣布破产。
然而这一次,数量高达5.33亿的用户信息被曝光在暗网上,无论如何都不是一件小事,Facebook的做法也让人愤恨,这对其他企业、机构而言,无疑是一个反面教材。
京公网安备 11010802033237号
