Facebook 自 2019 年以来就已意识到大规模数据泄露，但未向任何人发出警告

Facebook 在一篇博客文章中承认，自 2019 年以来，该公司的服务就已知晓导致 5.33 亿用户数据泄露的漏洞。该组织声称已向媒体和当局通报了该漏洞的存在，但随后却态度大转变，揭露了这一漏洞。这实际上是另一次违规行为。后者认为不适合通知受害者，因为据他说，他们并不真正存在漏洞。

这个周末，黑客泄露了5.33亿Facebook用户的个人数据，其中包括2000万法国人。无疑是社交网络历史上最重要的泄密事件之一然而，这并不是它的第一次尝试。在公布的信息中，我们发现个人资料名称、电话号码甚至电子邮件地址。 4 月 6 日，马克·扎克伯格 (Mark Zuckerberg) 的团队以产品管理总监迈克·克拉克 (Mike Clark) 的名义就该主题发表了讲话。

后者报告称，导致泄漏的缺陷自 2019 年起就为 Facebook 所知。它很快就会在同年八月被密封。但问题仍然存在，迈克·克拉克 (Mike Clark) 承认所涉违规行为并非任何声明的主题与随后几个月披露的另外两起类似案件不同。提醒一下，九月份，我们了解到4.19亿个电话号码被泄露。 12月的这个时候2.67亿用户号码被泄露。

迈克·克拉克 (Mike Clark) 解释说，黑客使用联系人导入功能中存在缺陷。虽然很快就被发现并纠正了，但无法知道它被使用了多少次。到目前为止，围绕这一事件的交流仅限于 2019 年 9 月发表的《福布斯》文章中的简短评论。当时，一名网络安全研究人员发现了 Instagram 通讯录中的一个漏洞。 Facebook 对此有何回应“由于内部发现，已经意识到了这个问题”，在确保问题已得到解决之前。

然而，《福布斯》的相关文章似乎涉及与上一个完全不同的缺陷，虽然两者比较相似。因此，Facebook 实际上并没有警告当局或用户他们的数据可能被盗。爱尔兰数据保护委员会确认了这种情况，表示“尚未收到 Facebook 的任何主动沟通”关于这个。

关于同一主题：Facebook 黑客攻击 — 如何知道我的数据是否面临风险

“之前的数据库是在 2019 年和 2018 年 Facebook 网站遭到大规模黑客攻击后发布的，Facebook 称这次黑客攻击发生在 2017 年 6 月至 2018 年 4 月期间，当时该社交网络修复了其电话号码搜索功能中的一个缺陷»，解释委员会。“鉴于黑客攻击发生在 GDPR 之前[自 2018 年起适用，编者注]，Facebook 选择不将其作为 GDPR 规定的个人数据泄露事件进行通报。最近发布的数据库似乎包含 2018 年（GDPR 之前）的所有原始信息，并与可能稍后收集的其他数据相结合。 »

Facebook以一种危险的方式为自己辩护

马克·扎克伯格的团队，而且他也受到了泄密的影响，解释说他认为不适合报告该缺陷，因为据他说，网络上已经有很多用户数据库。此外，要利用该漏洞，必须找到受害者的电话号码以将名称与其关联。对于 Facebook 来说，不需要更多的东西来确认这一点你对电话号码泄露不承担任何责任，迈克·克拉克 (Mike Clark) 解释道：“重要的是要明白，攻击者不是通过黑客攻击我们的系统来获取这些数据，而是在 2019 年 9 月之前从我们的平台获取这些数据。”

因此，合法但不太谨慎的功能与数据系统中的真正缺陷之间需要加以区分。这次大规模泄漏究竟是其中之一的结果，还有待判断。然而，对于受害者来说差异并不显着无论哪种情况，他们都会看到自己的个人信息在光天化日之下被泄露。在黑客方面，观察结果相似：工具的性质并不重要，因为它可以收集数据。更重要的是，他让这一切成为可能电话号码与其所有者身份之间的联系，这可能导致其他隐私侵犯。

“仅仅因为泄露不包含密码或其他极其敏感的数据就认为泄露并不重要，这是错误的”专门从事网络安全的公司 ZeroFox 的威胁情报总监扎克·艾伦 (Zack Allen) 估计。“仅仅因为是旧数据就说情况并不那么严重也是错误的。此外，如今的电话号码经常被用作一种身份验证形式，[鉴于这种情况]，这可能非常可怕。”。

就 Facebook 而言，它声称自己处于战备状态，以修复该缺陷或“弱点”造成的损害，具体取决于你的观点。“我们致力于通过研究解决方案将用户数据从托管网站上删除来保护用户数据，并且我们将继续积极打击出于错误原因使用我们工具的不良行为者。”迈克·克拉克写道。“虽然我们不能总是阻止这个数据库的流通或新数据库的出现，但我们有一个团队专门负责这项任务。”

来源 ：有线