Facebook表示泄露的533米记录是一种不同的数据集,攻击者通过滥用Facebook联系方式导入功能而创建的攻击者,而不是通过黑客攻击

2021-04-07 09:57:48

自星期六以来,大规模的Facebook数据被公开分发,从互联网上从大约5330万个Facebook用户泼了信息。数据包括个人资料名称,Facebook ID号,电子邮件地址和电话号码。它''既是可能已经泄露或从其他一些来源泄露的信息,但它' s又一次地将所有数据链接在一起,并将其与每个受害者呈现给诈骗者,phampers和垃圾邮件发送者在银色拼盘上。

Facebook'初始反应只是将在2019年报告的数据,并且该公司在那年8月份修补了潜在的脆弱性。旧新闻。但是仔细看看,这种数据来自于此,从而产生了许多MURKIER图片。事实上,2019年首次出现在刑事黑暗网上的数据来自Facebook当时没有披露Facebook没有透露,并且只有在博客帖子中唯一完全承认归因于产品管理总监Mike Clark 。

混淆的一个来源是Facebook已经有任何数量的违规和暴露,这些数据可能已经起源于此。它是5.4亿条记录 - 包括由第三方披露的Facebook ID,评论,喜欢和反应数据,并于2019年4月由安全公司Upguard披露?或者是419万个Facebook用户记录,包括数亿个电话号码,名称和Facebook ID,在2018年Facebook政策变更之前,由Bad Actors从社交网络刮掉,在2019年9月由TechCrunch公开并报告?它是否与剑桥分析第三方数据共享2018年的丑闻有关?或者是以某种方式与大规模2018年Facebook数据泄露有关,这些数据泄露会损害访问令牌,几乎所有个人数据来自大约3000万用户?

事实上,答案似乎没有上述任何一个。由于Facebook最终在背景评论中解释了有线和星期二博客,最近公开的TROVE为5.33亿次记录是一个完全不同的数据集,攻击者通过滥用Facebook地址簿联系方式导入功能而创建。 Facebook表示,它在2019年8月修补了漏洞,但它&#39不清楚之前的错误是多少次被剥削的错误。超过500万个国家的Facebook用户提供的信息包含Facebook ID,电话号码和其他有关Mark Zuckerburg和美国交通秘书Pete Buttigieg的早期Facebook用户的其他信息,以及欧洲和数据保护联盟委员会, Didier Reynders。其他受害者包括61人,列出"联邦贸易委员会"和651人名单"律师将军"他们在Facebook上的详细信息。

您可以通过检查Hasibeenpwned的突发跟踪站点来检查您的电话号码或电子邮件地址是否暴露在泄漏中。对于服务,创始人特洛伊寻找和解并摄取两种不同版本的数据集,这是一直浮现的。

“当组织有牵连的组织中的信息真空时,每个人都在推测,并在那里的困惑中推断出来的混乱,”亨特说。

“他们现在陷入困境,因为他们显然没有做任何披露或通知。”

最接近的Facebook来承认这次违反的来源以前是2019年秋季新闻文章中的评论。 9月份,福布斯报告了Instagram的相关漏洞和进口联系人的机制。 Instagram错误公开了用户的名称,电话号码,Instagram处理和帐户ID号。当时,Facebook告诉研究员披露了Facebook安全团队“已经意识到由于内部发现”的问题。发言人当时告诉福布斯,“我们改变了Instagram上的联系人导入者,以帮助防止潜在的滥用。我们感谢提出这个问题的研究员。"福布斯在2019年9月指出的故事中没有证据表明脆弱性被利用,而且没有证据表明它没有。

在今天的博客文章中,Facebook将于2019年9月的CNET中链接到CNET中作为证据表明,该公司公开公认2019年数据曝光。但CNET故事是指一名研究人员的调查结果,他们也联系在2019年5月有线关于Facebook数据,包括名称和电话号码。研究人员已经了解的泄漏是关于2019年9月报告的同一个TechCrunch。根据2019年9月的CNET故事,它是相同的一个CNET描述。 Facebook当时告诉TechCrunch,“这个数据集是旧的,似乎在去年进行了更改之前获得了信息[2018]以消除人们使用他们的电话号码找到其他人的能力。”这些变化旨在减少Facebook' S搜索和帐户恢复工具的风险可以利用群众刮擦。

在犯罪论坛中传播的数据集通常在不同的块中调整,重新组合和销售,这可以解释其确切尺寸和范围的变化。但是根据Facebook' 2019年评论中,数据TechCrunch在2018年中期或更早版本中,似乎不是目前循环的数据集。这两款Troves还具有不同的属性和每个区域影响的用户数。 Facebook拒绝评论2019年9月CNET故事。

如果所有这一切都感到疲惫,而且因为Facebook还没有给予实质性答案,因为Facebook还没有给出了一定程度的混乱。

“在Facebook的哪些点说,'我们在我们的系统中有一个错误,我们添加了一个修复,因此用户可能会受到影响'?"前联邦贸易委员会首席技术师Ashkan Soltani表示。 “我不记得曾经看到过Facebook这么说。他们现在陷入困境,因为他们显然没有做任何披露或通知。"

在博客承认违约之前,Facebook指出福布斯的故事作为证据表明它公开承认2019年Facebook联系进口商违规行为。但福布斯的故事是关于Instagram与主要Facebook的类似但看似无关的发现,这是5330万用户泄漏来自的地方。 Facebook承认它没有通知用户他们的数据被单独或通过官方公司安全公告遭到损害。

从人工智能和自驾车到改变城市和新初创公司,注册最新消息。

爱尔兰数据保护委员会周二在一份声明中表示,它“收到了Facebook”的主动沟通;关于违规行为。

“以前的数据集于2019年和2018年发布,与Facebook网站的大规模刮板有关,当Facebook在2017年6月至2018年期间,Facebook在电话查找功能中关闭了漏洞时,Facebook建议发生在Facebook网站的大规模扫描中,& #34;根据委员会的时间表组成。 "因为刮擦到GDPR之前发生了擦伤,Facebook选择不将此作为GDPR下的个人数据泄露。新发布的数据集似乎包括原始2018(pre gdpr)数据集并与其他记录组合,这可能是稍后的时间。“

您想要了解Equifax,Mariott,以及社会安全号码的问题的一切。

Facebook表示,它没有准确通知用户关于2019的联系进口商开发,因为从Facebook本身和其他公司中获取了这么多的半百货商数据。此外,攻击者需要提供电话号码并操纵该功能以吐出与它相关的相应名称和其他数据,以便开发到工作,这是Facebook所争辩的意味着它没有暴露电话号码本身。 “了解恶意行为者并非通过黑客攻击我们的系统而获得了这一数据,而是通过在2019年9月之前从我们的平台刮擦,”克拉克周二写道。公司旨在区分利用合法特征的弱点,以便在其系统中找到一个缺陷,以抓住其后端的数据。仍然是漏洞的漏洞。

但对于那些受影响的人来说,这是一个没有差异的区别。攻击者可以简单地贯穿各种可能的国际电话号码并收集击中数据。 Facebook错误提供了糟糕的演员,具有电话号码和名称等公共信息之间的缺失连接。

曾经在电话簿中公开的电话号码通常仍然是,但是他们' ve演变为无处不在的标识符,将您与数字生活的不同部分联系起来,他们' vere对新意义和潜在价值作出了新的意义和潜在价值攻击者。它们甚至在敏感身份验证中发挥作用,通过您可以通过SMS或电话呼叫接收双因素身份验证代码的路径,您可以在其中提供信息以确认您的身份。电话号码现在对数字安全至关重要的想法并不是新的。

“它' Sa谬误认为违反ISN' T严重只是因为它没有密码或其他最大敏感的数据,”安全公司Zerofox威胁情报总监Zack Allen说。 “它也是一种谬论,可以说一种情况而不是它只是因为它'旧数据而不好。此外,电话号码吓到了我的废话作为一种身份验证的形式,这不幸的是它们是如何往往使用这些天的&#39。“

就其部分而言,Facebook一再混淆了用户电话号码。他们曾经通过公司' s图搜索api工具轻松收集。当时,该公司并不将其视为作为安全漏洞,因为图表只有电话号码和其他用户在其配置文件上公开的电话号码和其他数据。然而,多年来,Facebook开始认识到这是一个问题,使这些数据如此容易刮擦,即使个人用户选择才能使他们的数据公开。在聚合中,信息仍然可以使个人可能不打算的规模诈骗和网络钓鱼。

2018年,Facebook承认它是根据用户&#39针对广告;双因素身份验证电话号码。同年,公司还禁用了一个允许用户使用他们的电话号码或电子邮件地址在Facebook上搜索其他人 - 再次被刮板滥用的机制。根据Facebook,这是用于收集2019年报告的数据技术的工具网络犯罪分子。

然而,不知何故,尽管这些和其他手势锁定了用户电话号码,Facebook仍未完全披露2019年数据泄露。联系导入功能有些陷入困境,公司还在2013年和2017年修复了漏洞。

与此同时,Facebook于2019年7月与FTC达成了地标,只能将其描述为庞大的数据隐私失败。以换取支付50亿美元的罚款并同意某些条款,如停止其上述备用使用安全认证相关电话号码,Facebook赔偿2019年6月12日之前的所有活动。

是否发生了任何联系导入剥削后发生了该日期 - 因此,应该向FTC报告 - 仍然是一个开放的问题。所有这一切的一件事是,这一切都是超过5亿的Facebook用户在网上不太安全,否则他们将是 - 并且可能易受一波新的骗局和网络钓鱼,脸书本可以提醒他们几乎两个几年前。

🎧声音不对的东西?查看我们最喜欢的无线耳机,声栏和蓝牙音箱