[新聞] 臉書：資料外洩為網頁抓取，非被駭

看板Gossiping作者Neisseria (Neisseria)時間3年前 (2021/04/10 18:29)推噓2(4推 2噓 4→)

留言10則, 10人參與討論串1/1

1.媒體來源: ITHome 2.記者署名: 文/林妍溱 3.完整新聞標題: 臉書：資料外洩為網頁抓取，非被駭 4.完整新聞內文: 臉書產品管理總監表示，5億多筆用戶個資外洩案是在2019年9月以前發生，當時有惡意人士濫用臉書的聯絡人匯入功能，藉由網頁抓取手法，從臉書網頁上取得大量用戶資料，而非平臺被駭造成的事件在被安全人員揭露外洩5.3億筆用戶個資將近一個星期後，臉書昨（7）日終於正式出面，表示這是一件網頁抓取（web scraping），而非平臺被駭造成的事件。但安全專家則認為臉書的說法是推卸責任。 Hudson Rock技術長Alon Gal上周發現涵括106國、5.33億筆臉書用戶個資，遭不明人士免費公開在駭客論壇上。外洩資訊包括用戶電話、臉書ID、全名、生日、住址及個人簡歷，少部份帳戶還有電子郵件信箱、帳號建立時間及感情狀態等。這些資料中，絕大多數來自美國、英國及印度，但也包括臺灣用戶個資超過73萬筆。外洩名單甚至包括臉書三位創辦人Mark Zuckerberg、Chris Hughes和 Dustin Moskovitz的電話號碼。臉書上周僅發言人以推文解釋，此事已在2019年有媒體報導過，該公司也已在同年8月發現並解決問題。本周三臉書產品管理總監Mike Clark終於出面說明此事，重申此事是在2019年9月以前，惡意人士藉由網頁抓取手法從臉書網頁上取得資訊，而不是臉書系統被駭的結果。網頁抓取是利用自動化軟體從網頁上，取得公開資訊的一種手法。臉書相信，在2019年9月以前，惡意人士濫用臉書聯絡人匯入（contact importer）功能。這項功能讓使用者將其手機通訊錄上傳臉書，方便一次送出大量邀請，旨在「協助使用者更容易找到並邀請他們的朋友」。惡意人士以軟體模仿臉書App，誘使用戶上傳大量電話號碼再比對出符合的臉書用戶，藉此取得這些用戶公開資料頁上的「有限個人資訊」。臉書聲稱，利用幫助用戶的功能來抓取資料，違反了臉書平臺政策。 Clark指出，這是詐欺者蓄意破壞禁止抓取網路服務的平臺政策最新例子，該公司2019年發現這項功能被濫用後已經做了調整。臉書並強調這些資訊不包含財務、健康資訊或密碼。周末臉書提供給歐盟資料保護委員會的訊息中，臉書說資料外洩時間點在2017年6月到 2018年4月之間。由於是在2019年5月25日GDPR上路之前，因此臉書沒有公開此事，也未通報受影響的用戶。歐盟主管機關將調查是否包含GDPR上路後外洩的資料。主持Have I Been Pwned外洩查詢服務的安全專家Troy Hunt及其他人，都對臉書回答表達不滿，根本是將推出這類侵害用戶隱私的功能的責任推得一乾二淨。首先發現這批5.33億資料的安全專家Gal則表示，這是臉書對用戶個資的絕對輕忽（ absolute negligence）。 5.完整新聞連結 (或短網址): https://www.ithome.com.tw/news/143702 6.備註: 阿肥不專業直覺覺得臉書在鬼扯有沒有專業鄉民來打臉一下臉書 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 36.231.170.72 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1618050592.A.BF8.html

→

takechance

04/10 18:30, 3年前 , 1^F

04/10 18:30, 1^F

→

kivan00

04/10 18:31, 3年前 , 2^F

04/10 18:31, 2^F

對耶，忘了這一手

噓

roger810605

04/10 18:31, 3年前 , 3^F