研究人员说，Facebook多年来一直以与使用它的“内容导入器”的漏洞相似，从而实现了533米用户的数据

Facebook用户超过5亿超过5亿的配置文件名称，电子邮件地址和电话号码近一周在线传播。 Facebook需要几天的日子终于承认根本原因，这是公司在2019年修复的问题。但是现在研究人员表示Facebook在此之前几年来了解类似的漏洞，它可能已经更加努力，以防止群众首先刮擦。

问题是Facebook＆＃39; s“内容导入器”，一个梳理用户＆＃39; s地址簿的功能，以找到他们知道谁也使用Facebook的人。许多社交网络和沟通应用程序提供了一些版本作为一种社交润滑剂。但Facebook＆＃39; S的联系导入工具特别有许多已知的问题，并在多年来的假设修复程序中。

“我肯定的公司也在出汗。它不仅仅是Facebook，＆＃34; Mentian Security研究人员表示，在Facebook和＃39;在2017年向公司报告了一个漏洞。“但是，对于Facebook而言，每当增长岌岌可危时，他们将三思而后行地思考使用户的隐私受益。“

De Ceukelaire和其他研究人员已经向Facebook提醒了类似的问题。 2012年，Facebook制作了更改，导致该网站＆＃39; s“下载您的信息”工具泄漏电话号码和电子邮件地址，即用户未通过联系导入功能提供自己。一名研究人员于2013年向Facebook披露了这个问题; 2018年，加拿大隐私专员办事处和爱尔兰数据保护委员会办公室调查了该发现。

＆＃34;我们的办公室发现FB在违约之前没有适当的保障措施，以保护用户和非用户的个人信息，“发现。

该事件与最近的Facebook争议不同，其中攻击者能够通过枚举来自100多个国家的批量可能的电话号码来＆＃34;扫描“Facebook”，将它们提交给联系导入工具，并操纵它以返回名称，Facebook ID和其他数据用户已在其配置文件上发布。尽管如此，失效介绍了接触导入工具访问敏感数据的可能性，并且需要在功能中仔细查看错误和无意中的行为。

DE Ceukelaire＆＃39; 2017年的研究与攻击者用于刮近最近的大规模数据集的方法相比，更直接涉及攻击者。 “我发现它相对易于在Facebook上揭示私人电话号码，揭示比利时名人和政治家的一些电话号码，”德威克莱尔于2017年2月写道。“即使这个诀窍似乎只在比利时等小国家工作（+ / - 1120万人），大量人民受到这种简单但有效的隐私泄漏的影响。“

De Ceukelaire已发现手动和有些有限，但仍然有效，以枚举电话号码并通过联系导入功能从Facebook中提取其相应的用户信息。他向Facebook和＃39; S错误赏金计划提交了调查结果，但在通过有线审查的通信中，该公司表示，该问题没有资格获得支付。

“我认为他们可能非常注意他们可能面临重大责任。”

然而，研究人员提出了两个关键点。首先，攻击者可能会仔细寻找通过电话号码枚举攻击滥用联系导入功能的更强大和有效的方法。 Facebook在它可能修改其速率限制时告诉De Ceukelaire - 可以制作的最大提交数量 - 用于联系导入功能，但它没有将问题视为漏洞。 De Ceukelaire进一步标记了用户可能无法理解他们为他们的Facebook个人资料提供信息的隐私控制可能会被称为“谁能查找我”的Facebook隐私设置。

Facebook让您将您的电话号码和电子邮件地址设置为“只有我”。但它也有一个完全独立的设置，称为“谁可以看起来我”，它决定了某人是否可以通过联系导入工具使用您的电话号码或电子邮件地址在Facebook上找到您。即使您的电话号码设置为“只有我＆＃34;在你的个人资料中，它仍然可以将其“谁”下的“能够看起来”。在这种情况下，如果有人猜到了您的电话号码，他们将能够将其链接到您的其他公共Facebook信息。

在Ceukelaire＆＃39; SCOOPS的时候，Facebook Didn＆＃39; T甚至在“谁可以看起来我”控制中提供“唯一的”选项。选项是“每个人”，“朋友的朋友”和“朋友”。 2019年5月，该公司增加了一个“唯一的”选项。转到“设置＆amp;隐私，“”设置“，”隐私“，并滚动到”人们如何找到并联系你“，找到”谁可以查看“电子邮件地址和电话号码控件。该功能默认设置为“Everyone”。

然后在那里＆＃39;是现在公开的2019年用户数据库。 Facebook尚未解释其创建的特定技术机制。但是，由@ zhacker13去的研究员在2019年8月在Instagram和＃​​39; s的联系人导入功能中提交了一个漏洞报告，这些报告可以通过甚至更具自动化和高效的电话号码枚举攻击提取用户数据的错误2017年展示。Facebook最终在2019年9月表示，其安全团队是“由于内部发现，已经意识到了这个问题”。

然而，最初，Facebook告诉Zhacker13，枚举漏洞是“极低的风险”，除非他们专门＆＃34;允许攻击者确定电子邮件地址或移动电话号码链接的特定用户ID，“Zhacker13＆＃39所做的。 2019年9月，福布斯打破了关于@ Zhacker13＆＃39;披露传奇的新闻。

“一开始，Facebook拒绝承认我的报告作为合法，即使在我向他们提供了一个完整的概念证明后，”Zhacker13在周四告诉有线。 “在我与福布斯交谈后，他们意识到他们犯了一个错误，修复了这个问题，并支付了4,000美元的小洞。”

在其官方确认Instagram联系导入漏洞中，Facebook写道，“这可能让恶意用户模仿Instagram并查找电话号码以找到他们所属的用户。”

该声明在周二的漏洞中呼应了Facebook的解释，使演员从超过5亿用户刮掉数据：“我们做了更改以防止恶意演员使用软件模仿我们的应用程序并上传大型的电话号码要查看哪些符合Facebook用户。“

本周Facebook一直强调，停止刮刀是无尽的猫和鼠标游戏。该公司还认为，泄露的数据并不像健康或财务信息那么敏感。 Facebook已经表示，通过刮擦的盗窃数据并不意味着攻击者通过黑客攻击我们的系统来实现数据。“虽然，毫无疑问地授予Instagram查找的Bug赏金，但Facebook已公开承认，它认为这种类型的问题与联系导入工具是一个漏洞。

最近泄漏的一些细节＆＃39; s时间轴仍然不清楚。 Facebook表示，刮擦“在2019年9月之前”，但它尚未完全澄清它发生，有多少事件，或者在Facebook上了解了恶意活动时。对数据集的分析似乎表明它在截至2018年至少在2018年开始的许多刮痧会聚在一起，如果不是较早，并且显然进入2019年6月，如果不是以后。然而，公司诚挚的单词选择可能反映出担心可以在未能披露世界各国联邦贸易委员会根据世界各项法律和协议下披露数据违约。 Facebook于2011年和2019年6月签订了与FTC的协议，似乎需要公司披露该机构的发现。

“鉴于他们试图如此小心的方式表明他们没有被黑客攻击，我认为他们可能非常注意他们可能面临重大责任，＆＃34;前联邦贸易委员会首席技术师Ashkan Soltani表示。

✨优化您的家庭生活与我们的齿轮队的最佳选择，从机器人真空到实惠的床垫到智能扬声器