情境示意圖,圖片來源/maxpixel

在被安全人員揭露外洩5.3億筆用戶個資將近一個星期後,臉書昨(7)日終於正式出面,表示這是一件網頁抓取(web scraping),而非平臺被駭造成的事件。但安全專家則認為臉書的說法是推卸責任。

Hudson Rock技術長Alon Gal上周發現涵括106國、5.33億筆臉書用戶個資,遭不明人士免費公開在駭客論壇上。外洩資訊包括用戶電話、臉書ID、全名、生日、住址及個人簡歷,少部份帳戶還有電子郵件信箱、帳號建立時間及感情狀態等。這些資料中,絕大多數來自美國、英國及印度,但也包括臺灣用戶個資超過73萬筆。外洩名單甚至包括臉書三位創辦人Mark Zuckerberg、Chris Hughes和 Dustin Moskovitz的電話號碼。

臉書上周僅發言人以推文解釋,此事已在2019年有媒體報導過,該公司也已在同年8月發現並解決問題。

本周三臉書產品管理總監Mike Clark終於出面說明此事,重申此事是在2019年9月以前,惡意人士藉由網頁抓取手法從臉書網頁上取得資訊,而不是臉書系統被駭的結果。網頁抓取是利用自動化軟體從網頁上,取得公開資訊的一種手法。

臉書相信,在2019年9月以前,惡意人士濫用臉書聯絡人匯入(contact importer)功能。這項功能讓使用者將其手機通訊錄上傳臉書,方便一次送出大量邀請,旨在「協助使用者更容易找到並邀請他們的朋友」。惡意人士以軟體模仿臉書App,誘使用戶上傳大量電話號碼再比對出符合的臉書用戶,藉此取得這些用戶公開資料頁上的「有限個人資訊」。臉書聲稱,利用幫助用戶的功能來抓取資料,違反了臉書平臺政策。

Clark指出,這是詐欺者蓄意破壞禁止抓取網路服務的平臺政策最新例子,該公司2019年發現這項功能被濫用後已經做了調整。臉書並強調這些資訊不包含財務、健康資訊或密碼。

周末臉書提供給歐盟資料保護委員會的訊息中,臉書說資料外洩時間點在2017年6月到2018年4月之間。由於是在2019年5月25日GDPR上路之前,因此臉書沒有公開此事,也未通報受影響的用戶。歐盟主管機關將調查是否包含GDPR上路後外洩的資料。

主持Have I Been Pwned外洩查詢服務的安全專家Troy Hunt其他人,都對臉書回答表達不滿,根本是將推出這類侵害用戶隱私的功能的責任推得一乾二淨。

首先發現這批5.33億資料的安全專家Gal則表示,這是臉書對用戶個資的絕對輕忽(absolute negligence)。

熱門新聞


Advertisement