转自HackRead,作者Waqas,蓝色摩卡译,合作站点转载请注明原文译者和出处为超级盾!
据报道,这些数据甚至可以在黑客论坛上下载。又一天,又一次数据泄露将数亿Facebook用户的隐私置于危险之中。这一切都始于一个数据库,它存储了超过2.67亿(267,140,436)用户的大量个人信息。
这个数据库最初是在12月4日由IT安全研究员Bob Diachenko发现的,他与Comparitech安全公司合作进行了详细的分析。据研究人员称,该数据库托管在Elasticsearch服务器上,没有任何密码或安全协议,对公众开放访问。
尽管该数据库不包含Facebook用户的电子邮件地址或密码,但它确实提供了与Facebook个人资料、全民、每个账户的唯一ID和时间戳相关的电话号码的绝对访问权限。
根据公司的博客,大部分暴露数据属于用户在美国不应该感到惊讶因为70%的美国公民是活跃在Facebook上,这意味着该国总人口3.272亿,大约有2.326亿人在Facebook上。2.67亿Facebook用户的姓名和电话号码被曝光:
泄露数据的截图(图片来源:Comparitech)
这个漏洞最成问题的方面是,在12月14日,Diachenko向管理服务器IP地址的互联网服务提供商(ISP)发出了警报,但它仍然暴露了近两周。
Diachenko进一步透露,ISP的延迟响应允许恶意行为者访问数据库并将其发布到黑客论坛上下载。
目前还不清楚谁拥有这个数据库,以及他们是如何获得数百万Facebook用户的电话号码的。但是,迪亚琴科看到的证据表明,越南网络罪犯参与了针对Facebook API的行动。
Facebook的API也可能有一个安全漏洞,即使在访问受限的情况下,犯罪分子仍然可以访问用户id和电话号码。Diachenko说,另一种可能是根本没有使用Facebook API就被窃取,从公开可见的个人资料页面中窃取的。
Bitglass的首席技术官Anurag Kahol对这一事件发表了评论,并告诉HackRead:“社交媒体平台是网络罪犯有利可图的目标,因为它们从用户那里收集和存储了大量的个人身份信息(PII)。
事实上,这次事件中暴露的数据是在一个黑暗的网络论坛上发现的,这使得受影响的消费者非常容易受到有针对性的网络钓鱼和证书填充攻击、账户劫持等。”
持续的影响是未知的,惊人的59%的消费者承认在多个网站上重复使用同一个密码,即使知道相关的风险。这可能会让网络罪犯通过多个服务访问同一个人的不同账户,从而使他们的数字足迹变得极其脆弱。
所有的消费者,不仅仅是受到这次事件影响的用户,都需要养成一个习惯,那就是在不同的账户上分散他们的登录凭证,以减少他们的账户被劫持的几率。”
所有的公司都可以了解到,为防止数据泄露,完全公开和控制客户数据是至关重要的。为此,组织必须实施安全解决方案,纠正错误配置,实施实时访问控制,加密静止的敏感数据,管理与外部方的数据共享”Anurag建议。
这并不是Facebook用户数据第一次被公开。在上个月,Diachenko发现了一个包含12亿人数据的数据库,这些数据是从Twitter、Facebook、LinkedIn和Git仓库托管服务GitHub等社交媒体平台上搜集来的。
另一方面,Elasticsearch服务器有暴露于公众的历史,并将不知情的用户和企业的个人数据置于危险之中。今年早些时候,超过2000万俄罗斯公民的个人信息在Elasticsearch服务器上曝光。
今年5月,在Freedom Mobile旗下的Elasticsearch数据库被泄露到网上后,数百万加拿大人的个人和支付卡密码再次被曝光。
去年12月,另一个包含8200万美国人个人信息的数据库在网上曝光。还有其他一些与Elasticsearch服务器相关的数据泄露事件。
声明:我们尊重原创者版权,除确实无法确认作者外,均会注明作者和来源。转载文章仅供个人学习研究,同时向原创作者表示感谢,若涉及版权问题,请及时联系小编删除!
精彩在后面
Hi,我是超级盾
超级盾能做到:防得住、用得起、接得快、玩得好、看得见、双向数据加密!
截至到目前,超级盾成功抵御史上最大2.47T黑客DDoS攻击,超级盾具有无限防御DDoS、100%防CC的优势加密!
