情境示意圖,圖片來源/微軟

臉書上周再傳出5.3億用戶個資外洩事件,歐盟隱私主管機關周一宣布將介入調查是否包含GDPR上路後外洩的資料

一名安全研究人員上周發現涵括106國、5.33億筆臉書用戶個資,遭不明人士張貼在駭客論壇上兜售。外洩資訊包括用戶電話、臉書ID、全名、生日、住址及個人簡歷,有的還有電子郵件信箱。媒體Business Insider驗證部份資料,證實這些資料為真且仍然有效。這些資料中,絕大多數來自美國、英國及印度,但也包括臺灣用戶個資超過73萬筆。臉書三位創辦人,包括祖克柏(Mark Zuckerberg)、Chris Hughes和 Dustin Moskovitz的電話號碼也在外洩名單中。

臉書解釋,這次發現的資料外洩其實是舊資料,主要包含數年前已公開的一批資料。臉書說明,2017年6月到2018年4月間,臉書網站的電話查詢功能發生漏洞致使大批用戶個資遭竊。一年後,即2018到2019年之間這批資料被不明人士公開於網路上。臉書於同年8月修補了這項漏洞。因為外洩發生時間點是在歐盟隱私法GDPR上路之前,因此臉書選擇不公開此事,也未通知受影響的用戶。

2018年到2019年之間公開的臉書用戶個資,2020年6月被人放在駭客論壇上兜售,付錢即可以Telegram的機器人程式輸入電話查詢。上周外洩的5.33億筆個資,則是全部免費張貼在駭客論壇上。

位於愛爾蘭的歐盟資料保護委員會(Data Protection Commission,DPC)指出,周末釐清事件來龍去脈同時,並未接到臉書的積極聯繫,隨後終於獲得臉書回應。這家社群龍頭解釋,此次被發現外洩的資料是由第三方人士匯集,牽涉多個來源,因此需要花較長時間廣泛調查,才能更確切回報歐盟主管機關及用戶。

雖然這是舊資料及GPPR上路前的事情,但DPC表示,將調查是否完全就是2019年的那一批,或是後來臉書仍有技術疏漏造成了新資料外流,若是如此,則此事就會引發GDPR相關的法律責任。

在此同時,DPC也呼籲用戶,面對任何服務要求提供電子郵件信箱及電話號碼進行驗證時應保持警覺,因為這些資料可能流入第三方單位(即駭客)手中。

資料外洩查詢服務Have I Been Pwned(HIBP)也針對臉書資料外洩事件提供特別版,允許使用者以電話號碼查詢,自己是否也落入了臉書的外洩資料庫中。

熱門新聞


Advertisement