FB再現(xiàn)數(shù)據泄露！上億用戶記錄在亞馬遜云計算服務器上曝光

　　4月4日消息，據外媒報道，網絡安全公司UpGuard的研究人員聲稱，他們在亞馬遜云云計算服務器上可公開訪問的地方發(fā)現(xiàn)了數(shù)億Facebook用戶的個人信息記錄。

　　這些記錄顯然是由Facebook的合作伙伴而非這家社交網絡巨頭存儲的。此外，這些數(shù)據并不特別敏感。例如，其中不包括用戶的金融信息或社會保障號碼。這些敏感信息通�？杀挥糜谏矸荼I竊，2017年的Equifax泄密事件中就曾大量曝光。

　　盡管如此，此次用戶記錄曝光突顯出這樣的事實：Facebook合作伙伴始終能夠通過自己的應用收集大量數(shù)據，但他們可能并不總是能充分保護這些信息。過去兩年，F(xiàn)acebook及其合作伙伴在收集、共享和保護用戶在該服務上存儲和共享的數(shù)據方面，遭遇了一連串的負面打擊。

　　Facebook的股價在這個消息發(fā)布時下跌了約1%，收盤時略有下跌。亞馬遜股價曾一度跌出了盤中高點，但在周三收盤時仍上漲約0.4%。

　　UpGuard是一家商業(yè)公司，為公司銷售檢測和防止數(shù)據泄露的產品。該公司在博客文章中表示，研究人員在亞馬遜S3服務中發(fā)現(xiàn)的數(shù)據超過5.4億條記錄，其中包含F(xiàn)acebook用戶信息，如評論、回復以及賬戶名稱等，這些信息似乎是由墨西哥媒體公司Cultura Colectiva上傳的。

　　UpGuard表示，他們?yōu)橐豢蠲麨?ldquo;At the Pool”的Facebook集成應用程序找到了數(shù)據庫備份，其中包括該應用程序的密碼，以及其他詳細信息。UpGuard的數(shù)據顯示，這個數(shù)據庫只包含22000個用戶的密碼，該應用程序于2014年停止運行。

　　UpGuard沒有找到Facebook密碼。該公司表示，這些數(shù)據存儲在亞馬遜云服務的不安全部分，如果外部人員有正確的信息并知道在哪里查找，他們可以很容易地訪問這些數(shù)據。

　　UpGuard負責產品的副總裁格雷格·波洛克(Greg Pollock)說：“S3上通常有個名字。在本例中，名稱為Yeti DB，另一個名稱為CC Data Lake。如果你猜到了這些名字，并能訪問瀏覽器，那事情就太容易了。”

　　Facebook發(fā)言人表示，該公司正在調查這起事件，并補充說，UpGuard尚未直接與該公司聯(lián)系。這位發(fā)言人聲稱，F(xiàn)acebook最初是在彭博社的記者就UpGuard的調查結果撰寫報道時才意識到這個問題的。Facebook表示：“我們的政策明確禁止在不安全的地點存儲從Facebook獲得的信息。”

　　亞馬遜在一份聲明中指出，AWS的某些安全防護措施可能會被客戶重寫覆蓋，例如本案中的應用程序制造商。

　　亞馬遜表示：“AWS客戶擁有數(shù)據，并可完全控制其數(shù)據。當我們收到有關內容不是明顯非法或被禁止的濫用報告時，我們會通知有關客戶并要求他們采取適當?shù)男袆�，這就是現(xiàn)在發(fā)生的情況。雖然亞馬遜S3在默認情況下是安全的，但我們可以靈活地更改我們的默認配置，以適應需要更廣泛訪問的許多用例，例如構建網站或托管可公開下載的內容，但應用程序構建人員必須確保他們對訪問權限配置所做的更改能夠確保安全。”

　　Cultura Colectiva沒有立即回復置評請求。(騰訊科技審校/金鹿)