网络安全研究人员发现,数百万条Facebook记录被公开存储在亚马逊云服务器上。美国网络安全公司UpGuard称越来越多的数据库有泄露风险。
好可怕!大量Facebook用户数据在亚马逊云服务器上裸奔
网络安全公司UpGuard研究人员发现大量的用户信息不经意间被公开发布到亚马逊公司的云计算服务器上。这一发现表明,在各个环节掌握着用户信息的公司在保护用户隐私数据方面仍然有所欠缺。
墨西哥城的数字平台Cultura Colevita公开存储了5.4亿条Facebook用户记录,包括身份证号码、评论、回复和账户名。任何能发现这些数据的人都可以访问和下载这些记录。该数据库周三关闭,此前有外媒提醒Facebook注意该问题,然后Facebook联系了亚马逊。该事件被报道后,Facebook股价应声下跌。
Cultura Colevita是一个发布名人和文化故事的数字平台,主要面向拉美裔受众。该公司的网站宣称,它通过数据和技术产生内容,在Facebook、Instagram、Twitter、YouTube和Pinterest上拥有4500多万粉丝。
另一个长期停用的名为At the Pool的APP也在其数据库中公开存放了22000人的姓名、密码和电子邮件地址。UpGuard不清楚这些数据暴露了多久,因为该公司调查该数据库时,数据库突然不可访问。
Facebook多年来一直乐意与第三方开发者分享这类信息,直到最近才予以取缔。意外公开存储数据的问题可能比这两个例子波及范围更广。UpGuard发现了10万个亚马逊托管的包含各种类型数据的开放数据库,其中一些数据并不适合公开。
UpGuard网络风险研究主管Chris Vickery说:“公众还没有意识到这些高层次系统的管理人员和开发人员,即这些数据的保管者,是胆子太大,还是太懒,或者就是偷工减料。他们对大数据的安全问题关注不够。”
多年来,Facebook允许任何在其网站上制作应用的人获取这些应用使用者及其朋友的信息。一旦数据脱离Facebook的控制,开发人员就可以使用数据为所欲为。
大约一年前,Facebook首席执行官扎克伯格正准备就一个特别严重的数据泄露事件接受国会质询——一名开发人员将数千万用户的数据交给了剑桥分析公司,这家政治咨询公司协助了特朗普竞选美国总统。该事件导致了Facebook被世界各地的政府调查,面临着更严厉的政府监管的风险。
去年,Facebook开始对数千个应用进行审计,并暂停了数百个应用,直到它们能确保不会滥用用户数据。Facebook现在为发现其第三方应用问题的研究人员提供奖励。
一位Facebook发言人说,该公司政策禁止在公共数据库中存储Facebook的信息。这位发言人说,Facebook获悉这个问题后,就立马与亚马逊联系关闭数据库,Facebook致力于在其平台上与开发人员合作来保护用户的数据。
在总计146 GB的Cultura Colevita数据集中,研究人员很难发现到底有多少Facebook用户受到影响。UpGuard在关闭数据库时也遇到了麻烦。该公司在数月内给Cultura Colevita和亚马逊分别发送了电子邮件,提醒他们注意这个问题。直到Facebook联系亚马逊,这个问题才得以解决。
这个事件显示了数据安全问题是如何被另一种趋势放大的:许多公司已经从主要使用自己的数据中心运行业务转变为使用亚马逊、微软、谷歌等公司运营的云计算服务。
通过帮助企业轻松地在远程服务器上运行应用程序以及存储大量数据——从企业文档到员工信息,这些科技巨头已经获取了数十亿美元的收入。
像亚马逊云服务的简单存储服务这样的程序,本质上是一种互联网访问的硬盘,其客户可以选择让上传数据的人、公司其他成员或者是网上的任何人看到数据。有时,这些信息被设计成公开可见的,比如公司网站上存储的照片或其他图像的缓存文件。
其他时候,并非如此。近年来,存储在多个云服务上的信息——美国军事数据、报纸订阅者和手机用户——被人无意放在网上公开共享,并被安全研究人员发现。
亚马逊在过去两年里通过增加显著的警告通知、制作工具让管理员可以更简便地关闭公开数据以及免费提供用来检查客户的账户是否有数据暴露的工具等手段加强了信息交换协议,以保护用户敏感信息免遭泄露。
为亚马逊云服务的企业用户提供咨询服务的Duckbill Group员工Corey Quinn表示:“最初我会在亚马逊云服务上放很多数据。”但他说,既然亚马逊已经采取相关措施解决这个问题,像Cultura这样的公司应该意识到这一点。“新闻中出现的这些问题,还有将继续出现的问题,如果企业还在向公众开放亚马逊云服务上的数据,说明没有关注这方面。”
亚马逊并不是唯一一家被定期曝光隐私记录泄露的公司。但该公司在数据存储和计算能力领域占据领先地位,这使得亚马逊经常成为人们关注的焦点。
(编辑:岳萌萌)
声明:转载本文不得修改标题及原文,并保留来源以及原文链接,否则我们将保留追索权利。