在新發(fā)現(xiàn)的漏洞中暴露了超過2.67億的Facebook用戶

新發(fā)現(xiàn)的Facebook安全漏洞已暴露了不少于267,140,??436名用戶。使事情更糟，突破口，通過之間的伙伴關(guān)系，發(fā)現(xiàn)Comparitech和安全研究員鮑勃Diachenko，似乎被鏈接到一個組織。有問題的黑客似乎起源于越南。大多數(shù)受影響的人在。

違規(guī)行為包括敏感信息，包括用戶的唯一Facebook ID，電話號碼和全名。每個條目還包括時間戳，進一步指示所獲取信息的有效性。

在哪里發(fā)現(xiàn)了數(shù)據(jù)，這有什么風(fēng)險?

組織參與了攻擊的推論源自發(fā)現(xiàn)它的方式。最初，不良行為者于12月12日在黑客論壇上發(fā)布了數(shù)據(jù)，并于12月4日首次建立索引。該數(shù)據(jù)被作為可下載的數(shù)據(jù)庫提供。

在Diachenko先生發(fā)現(xiàn)具有登錄名和歡迎信息的登錄頁面的數(shù)據(jù)庫和服務(wù)器之后，濫用情況報告已發(fā)送到ISP，負責(zé)服務(wù)器的IP地址。研究人員在12月14日報告了該問題。ISP在12月19日使該數(shù)據(jù)庫不可用。暴露持續(xù)了短短的兩周。

攻擊者如何立即擁有有關(guān)數(shù)據(jù)還不是很明顯。有幾種可能性，包括從可公開訪問的Facebook頁面和個人資料中抓取。相反，數(shù)據(jù)可能早在2018年Facebook政策變更之前就已獲取。該API先前已授予訪問用戶信息(例如電話號碼)的權(quán)限。

最后，迪亞琴科先生指出，盡管API有所更改，但該信息可能來自仍然存在的Facebook安全漏洞。Facebook最近在用戶隱私和保護方面的表現(xiàn)并不出色，極大地擴展了可能性。

由于所獲取信息的敏感性，最大的風(fēng)險是通過SMS進行網(wǎng)絡(luò)釣魚攻擊。

尤其是獨特的Facebook ID，使惡意行為者更容易發(fā)現(xiàn)更多信息以進行此類攻擊。實際上，這意味著惡意實體更容易嘗試將用戶騙取其他個人信息。最終的結(jié)果可能經(jīng)常是金錢損失或身份盜用。

不良行為者也可能會嘗試將數(shù)據(jù)與采取的信息類型一起用于基于垃圾郵件的攻擊。

如果您仍在使用Facebook，則需要保護自己

對于那些選擇繼續(xù)使用Facebook的人來說，防止數(shù)據(jù)被竊取或盜竊的可能方法并非沒有可能。用戶可以通過導(dǎo)航到“設(shè)置”，然后單擊“隱私”來在其帳戶隱私設(shè)置中最小化抓取的數(shù)據(jù)。

重大變化導(dǎo)致用戶對誰可以公開查看數(shù)據(jù)進行調(diào)整。研究人員說，對于初學(xué)者而言，“隱私”設(shè)置中的每個字段都應(yīng)設(shè)置為“僅我”或“朋友”。

最后，需要質(zhì)疑用戶是否希望搜索引擎能夠鏈接到配置文件的設(shè)置。用戶需要將其設(shè)置為“否”，以防止從Internet搜索結(jié)果(例如Google)上進行基本抓取。在其他可以找到相同應(yīng)用程序的應(yīng)用程序中調(diào)整類似設(shè)置也是一個好主意。當(dāng)實施與最新Facebook違規(guī)中可能使用的策略類似的策略時，這至少將使用戶更容易遭受違規(guī)。