鬧的沸沸揚揚的“劍橋分析”（Cambridge Analytica）數(shù)據(jù)泄露丑聞才剛剛過去一年，F(xiàn)acebook 好像又在同一個地方跌倒了，小扎還真是不長心啊。

4月4日，網(wǎng)絡(luò)安全公司 UpGuard 的研究人員確認，AWS 的云服務(wù)器上又出現(xiàn)了一個不安全的數(shù)據(jù)庫，而它與 Facebook 可脫不了干系。顯然，因為數(shù)據(jù)泄露丑聞被國會議員“圍攻”的扎克伯格并沒有吸取教訓，F(xiàn)acebook 在確保用戶數(shù)據(jù)絕對安全方面有點不作為。

據(jù) UpGuard 公司研究人員分析，這次被曝光的數(shù)據(jù)庫存有大量獨家用戶信息，但這些用戶信息連個“守門”的密碼都沒有。據(jù)悉，被曝光的數(shù)據(jù)庫有一部分是來自墨西哥數(shù)字媒體公司 Cultura Colectiva 的數(shù)據(jù)集，這里公開存儲了約 5.4 億條 Facebook 用戶記錄，這些機密數(shù)據(jù)的容量高達 146 GB。

鑒于這個數(shù)據(jù)庫完全對外開放，因此任何人都能“到此一游”并隨手下載相關(guān)數(shù)據(jù)，比如郵箱地址與登錄信息，而登錄信息這部分甚至直接囊括了密碼、賬號、識別碼、用戶評論和互動，實在是太嚇人了。

彭博社給 Facebook 通報了這個數(shù)據(jù)集的存在后，社交巨頭馬上將其從 AWS 移除。Facebook 還一并“干掉”了屬于 At the Pool 應(yīng)用的另一個數(shù)據(jù)集，這里存了大約 2.2 萬名 Facebook 用戶的 email 賬號和密碼。

由于 Facebook“行動神速”，因此安全研究人員不知道到底這些數(shù)據(jù)庫泄露了多少“天機”。Facebook 發(fā)言人則宣稱，它們一收到消息就趕緊將這些數(shù)據(jù)庫下線。眼下，公司正在對這一事件進行調(diào)查，為的就是確認這些數(shù)據(jù)在 AWS 上到底“曝光”了多久。

Facebook 發(fā)言人還進一步確認稱，公司并不允許將用戶數(shù)據(jù)存儲在公共數(shù)據(jù)庫中，這是明顯的違規(guī)行為。不過，值得一提的是，上周 Facebook 才剛剛被抓住小辮子，它們不但將 6 億用戶的純文本密碼存在自家服務(wù)器上，還給了超過 2 萬名雇員獲取這些密碼的權(quán)力。

當然，F(xiàn)acebook 總是被此類丑聞糾纏也是因為它們有向第三方開發(fā)者分享用戶數(shù)據(jù)的“傳統(tǒng)”。不過，這項“光榮傳統(tǒng)”最近才被曝光，面對各方抨擊，F(xiàn)acebook 也不得不對數(shù)據(jù)分享的行為下了禁止令。

除此之外，UpGuard 的研究人員還指出，這兩個被曝光的數(shù)據(jù)庫只是滄海一粟罷了，因為亞馬遜的 AWS 上可是駐留著 10 萬個服務(wù)器呢，它們中肯定也有服務(wù)器存在數(shù)據(jù)泄露問題。UpGuard 網(wǎng)絡(luò)風險研究主管 Chris Vickery 更是大聲疾呼，稱用戶數(shù)據(jù)急需得到尊重和保護。

Vickery 表示：“公眾還沒有意識到，這些高級系統(tǒng)管理員、開發(fā)人員以及數(shù)據(jù)保管人員并不是什么守護天使，他們要么冒險，要么懶惰或偷工減料。此外，業(yè)界對大數(shù)據(jù)的安全問題也沒有沒有足夠的關(guān)注?！?/strong>

Digital Guardian 公司云服務(wù)安全架構(gòu)師 Naaman Hart 則警告用戶，互聯(lián)網(wǎng)沒有免費午餐，即使是看似免費的社交媒體，比如 Facebook，而你付出的代價就是用戶數(shù)據(jù)。

“這就是你使用免費服務(wù)的‘買路財’，但你得想想這筆買賣到底值不值。雖然 Facebook 并非數(shù)據(jù)泄露的罪魁禍首，但它們漏洞百出的管理還是讓第三方公司能輕松拿到這些數(shù)據(jù)。從這點來看，F(xiàn)acebook 在保護用戶數(shù)據(jù)上沒有盡到應(yīng)有義務(wù)，它們反而選擇助紂為虐。”Hart 解釋道。

Hart 還警告那些采集用戶數(shù)據(jù)并將其分享給第三方的公司要及時收手，因為歐盟的《通用數(shù)據(jù)保護條例》（GDPR）可是一直懸在頭上呢。

“在 GDPR 時代各家公司都必須意識到，只要它們采集用戶數(shù)據(jù)，就必須對其負責，無論是自己保存還是分享給第三方。也許未來有關(guān)該問題的訴訟會集中爆發(fā)，歐盟的罰款可不是鬧著玩的。在持續(xù)高壓下，出于公司聲譽和財務(wù)方面的考慮，F(xiàn)acebook 這樣的巨頭恐怕也得恪守嚴格的安全標準并監(jiān)督好與自己做生意的其他公司?！盚art 補充道。

雷鋒網(wǎng) Via. Hackread

雷鋒網(wǎng)雷鋒網(wǎng)

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。