Facebook 安全團隊今日表示發現一項安全漏洞,Download Your Information(DYI)工具會無意導致使用者的 email 或手機號碼洩漏給其他使用者。目前已有 600 萬使用者帳號個資恐遭外洩。

漏洞發生的原因,是當使用者從聯絡人名單(contact lists)或地址簿(address books)上傳到 Facebook 時,Facebook 便會從其他使用者的聯絡人訊息進行比對,加以找出使用者之間的關聯、並進行推薦。這也就是為什麼 Facebook 總是有辦法推薦我們可能認識的朋友。但因為漏洞,部分資訊包含交友建議(friend recommendation)、以及減少 Facebook 邀請數量的訊息,會在無意中被記錄下來。如果使用者帳戶下載了 Download Your Information(DYI)工具,下載了他們的 Facebook 使用者帳戶訊息,即可看到其他聯絡人、或曾經聯絡過的人的 email 或手機電話號碼。

▲Facebook 表示 Download Your Information(DYI)工具會無意透露使用者的 email 或手機號碼。目前 Facebook 安全團隊已修改這項漏洞。
這項漏洞在去年已出現,直到在上週才被發現。Facebook 收到通知之後,已在 24 小時內修補漏洞,但恐怕已有 600 萬使用者帳號的個資已透過 Download Your Information(DYI)工具下載外露,此外還有一些非 Facebook 使用者帳戶的 email 及手機號碼。不過 Facebook 也強調,這些 email 或手機號碼的下載資訊都只被下載1~2次,因此多數情況下只會洩漏給一個人;另外其他個人訊息等敏感內容也不會在下載資訊中。最後只有 Facebook 使用者能使用 Download Your Information(DYI)工具,開發者和廣告商無法取得內容。
Facebook 表示目前尚無證據這項漏洞以被不肖人士使用,也尚未收到使用者投訴或出現異常不法行為,Facebook 以通知美國、加拿大、歐洲的監管機構,並會透過 email 通知個資外洩的使用者帳戶。Facebook 也表示,沒有任何公司可以保證 100% 不會出現漏洞。
資料來源:TechCrunch
轉載自《T客邦》
沒有留言:
張貼留言