鬧的沸沸揚(yáng)揚(yáng)的“劍橋分析”（Cambridge Analytica）數(shù)據(jù)泄露丑聞才剛剛過(guò)去一年，F(xiàn)acebook 好像又在同一個(gè)地方跌倒了，小扎還真是不長(zhǎng)心啊。

4月4日，網(wǎng)絡(luò)安全公司 UpGuard 的研究人員確認(rèn)，AWS 的云服務(wù)器上又出現(xiàn)了一個(gè)不安全的數(shù)據(jù)庫(kù)，而它與 Facebook 可脫不了干系。顯然，因?yàn)閿?shù)據(jù)泄露丑聞被國(guó)會(huì)議員“圍攻”的扎克伯格并沒(méi)有吸取教訓(xùn)，F(xiàn)acebook 在確保用戶數(shù)據(jù)絕對(duì)安全方面有點(diǎn)不作為。

據(jù) UpGuard 公司研究人員分析，這次被曝光的數(shù)據(jù)庫(kù)存有大量獨(dú)家用戶信息，但這些用戶信息連個(gè)“守門”的密碼都沒(méi)有。據(jù)悉，被曝光的數(shù)據(jù)庫(kù)有一部分是來(lái)自墨西哥數(shù)字媒體公司 Cultura Colectiva 的數(shù)據(jù)集，這里公開(kāi)存儲(chǔ)了約 5.4 億條 Facebook 用戶記錄，這些機(jī)密數(shù)據(jù)的容量高達(dá) 146 GB。

鑒于這個(gè)數(shù)據(jù)庫(kù)完全對(duì)外開(kāi)放，因此任何人都能“到此一游”并隨手下載相關(guān)數(shù)據(jù)，比如郵箱地址與登錄信息，而登錄信息這部分甚至直接囊括了密碼、賬號(hào)、識(shí)別碼、用戶評(píng)論和互動(dòng)，實(shí)在是太嚇人了。

彭博社給 Facebook 通報(bào)了這個(gè)數(shù)據(jù)集的存在后，社交巨頭馬上將其從 AWS 移除。Facebook 還一并“干掉”了屬于 At the Pool 應(yīng)用的另一個(gè)數(shù)據(jù)集，這里存了大約 2.2 萬(wàn)名 Facebook 用戶的 email 賬號(hào)和密碼。

由于 Facebook“行動(dòng)神速”，因此安全研究人員不知道到底這些數(shù)據(jù)庫(kù)泄露了多少“天機(jī)”。Facebook 發(fā)言人則宣稱，它們一收到消息就趕緊將這些數(shù)據(jù)庫(kù)下線。眼下，公司正在對(duì)這一事件進(jìn)行調(diào)查，為的就是確認(rèn)這些數(shù)據(jù)在 AWS 上到底“曝光”了多久。

Facebook 發(fā)言人還進(jìn)一步確認(rèn)稱，公司并不允許將用戶數(shù)據(jù)存儲(chǔ)在公共數(shù)據(jù)庫(kù)中，這是明顯的違規(guī)行為。不過(guò)，值得一提的是，上周 Facebook 才剛剛被抓住小辮子，它們不但將 6 億用戶的純文本密碼存在自家服務(wù)器上，還給了超過(guò) 2 萬(wàn)名雇員獲取這些密碼的權(quán)力。

當(dāng)然，F(xiàn)acebook 總是被此類丑聞糾纏也是因?yàn)樗鼈冇邢虻谌介_(kāi)發(fā)者分享用戶數(shù)據(jù)的“傳統(tǒng)”。不過(guò)，這項(xiàng)“光榮傳統(tǒng)”最近才被曝光，面對(duì)各方抨擊，F(xiàn)acebook 也不得不對(duì)數(shù)據(jù)分享的行為下了禁止令。

除此之外，UpGuard 的研究人員還指出，這兩個(gè)被曝光的數(shù)據(jù)庫(kù)只是滄海一粟罷了，因?yàn)閬嗰R遜的 AWS 上可是駐留著 10 萬(wàn)個(gè)服務(wù)器呢，它們中肯定也有服務(wù)器存在數(shù)據(jù)泄露問(wèn)題。UpGuard 網(wǎng)絡(luò)風(fēng)險(xiǎn)研究主管 Chris Vickery 更是大聲疾呼，稱用戶數(shù)據(jù)急需得到尊重和保護(hù)。

Vickery 表示：“公眾還沒(méi)有意識(shí)到，這些高級(jí)系統(tǒng)管理員、開(kāi)發(fā)人員以及數(shù)據(jù)保管人員并不是什么守護(hù)天使，他們要么冒險(xiǎn)，要么懶惰或偷工減料。此外，業(yè)界對(duì)大數(shù)據(jù)的安全問(wèn)題也沒(méi)有沒(méi)有足夠的關(guān)注。”

Digital Guardian 公司云服務(wù)安全架構(gòu)師 Naaman Hart 則警告用戶，互聯(lián)網(wǎng)沒(méi)有免費(fèi)午餐，即使是看似免費(fèi)的社交媒體，比如 Facebook，而你付出的代價(jià)就是用戶數(shù)據(jù)。

“這就是你使用免費(fèi)服務(wù)的‘買路財(cái)’，但你得想想這筆買賣到底值不值。雖然 Facebook 并非數(shù)據(jù)泄露的罪魁禍?zhǔn)?，但它們漏洞百出的管理還是讓第三方公司能輕松拿到這些數(shù)據(jù)。從這點(diǎn)來(lái)看，F(xiàn)acebook 在保護(hù)用戶數(shù)據(jù)上沒(méi)有盡到應(yīng)有義務(wù)，它們反而選擇助紂為虐?！盚art 解釋道。

Hart 還警告那些采集用戶數(shù)據(jù)并將其分享給第三方的公司要及時(shí)收手，因?yàn)闅W盟的《通用數(shù)據(jù)保護(hù)條例》（GDPR）可是一直懸在頭上呢。

“在 GDPR 時(shí)代各家公司都必須意識(shí)到，只要它們采集用戶數(shù)據(jù)，就必須對(duì)其負(fù)責(zé)，無(wú)論是自己保存還是分享給第三方。也許未來(lái)有關(guān)該問(wèn)題的訴訟會(huì)集中爆發(fā)，歐盟的罰款可不是鬧著玩的。在持續(xù)高壓下，出于公司聲譽(yù)和財(cái)務(wù)方面的考慮，F(xiàn)acebook 這樣的巨頭恐怕也得恪守嚴(yán)格的安全標(biāo)準(zhǔn)并監(jiān)督好與自己做生意的其他公司?！盚art 補(bǔ)充道。

雷鋒網(wǎng) Via. Hackread

雷鋒網(wǎng)雷鋒網(wǎng)

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。