第三方Facebook应用程序泄露了AWS服务器上的5.4亿用户记录

区块链2020-08-24 14:18:31
导读Facebook严厉批评的应用程序集成系统导致超过146GB的数据被公开暴露在第三方公司拥有和运营的AWS服务器上。据信,与Facebook帐户相关的5

Facebook严厉批评的应用程序集成系统导致超过146GB的数据被公开暴露在第三方公司拥有和运营的AWS服务器上。据信,与Facebook帐户相关的5.4亿条记录存储在服务器上,包括用户在平台上使用应用程序时获得的评论,喜欢,反应,姓名和用户ID - 在调查Cambridge Analytica期间发现的相同方法。

到目前为止,有两个应用程序与数据仓库相关联:Cultura Colectiva,一家向墨西哥用户推广内容的媒体公司,以及“At the Pool”,一种将用户与其他内容相匹配的服务,已经淘汰自2016年起的运营。

据说Pool在明文服务中有22,000个密码以及与Facebook用户ID相关的列 - 担心许多用户可能在他们的Facebook帐户上使用相同的密码。

这两个应用程序的数据集都存储在Amazon S3存储桶中,这些存储桶被发现配置错误,无法公开下载文件。尽管在企业中常用,但由于它们允许数据在广泛的地理区域内的服务器上分布,因此发生了多起涉及公司未能充分保护其数据的事件。

Facebook谴责这两个应用程序的做法。“Facebook的政策禁止将Facebook信息存储在公共数据库中,”Facebook发言人表示。“一旦提醒这个问题,我们就与亚马逊合作删除了数据库。我们致力于与我们平台上的开发人员合作,以保护人们的数据。”

在安全研究公司UpGuard发出警报后,AWS于2019年1月28日了解了暴露的数据。AWS确认已收到该报告并正在对其进行调查,但数据仅在本周三获得。

“AWS客户拥有并完全控制他们的数据,”AWS发言人告诉IT专业人士。“当我们收到有关非明显违法或禁止内容的滥用报告时,我们会通知相关客户并要求他们采取适当的措施,这就是此处发生的事情。”

该声明与UpGuard的声明一致,研究人员于2019年1月10日在AWS之前向Cultura Colectiva发出警告,但尚未收到该公司的回复。

近年来,埃森哲,益百利,WWE和NSA都发现在不安全的AWS服务器上存储了数据,问题变得如此普遍,以至于黑客已经开始创建专门针对这些存储桶而设计的工具。

“虽然默认情况下Amazon S3是安全的,但我们可以灵活地更改我们的默认配置,以适应需要更广泛访问的许多用例,例如构建网站或托管可公开下载的内容,”AWS表示。“就像本地或其他任何地方的情况一样,应用程序构建者必须确保他们对访问配置所做的更改正在按预期保护访问权限。”

这一消息恰逢华盛顿邮报发表的一篇文章,其中Facebook的马克扎克伯格呼吁“全球GDPR”以及对欧盟以外大科技数据保护原则的更严格监管,尽管该公司本身面临10项主要的GDPR调查。

数据的发现再次引发了Facebook的数据共享政策问题,这有助于剑桥分析公司为政治目的不正当地共享用户数据。这促使Facebook改变其共享政策以限制第三方访问,尽管担心这样的数据库已经被广泛共享。

“剑桥Analytica是最引人注目的案例,导致Facebook与第三方开发者的互动方式发生了一些重大变化,但我怀疑有很多Facebook数据存在于不应该存在的地方,包括这个,”隐私倡导者Comparitech.com的Paul Bischoff。

“尽管Facebook限制了第三方开发者可以访问的信息,但在事实发生之后,Facebook仍然无法做到滥用或处理不当,”他说。

免责声明:本文由用户上传,如有侵权请联系删除!