Facebook 安全團隊在官方部落格表示,他們發現 Facebook 一項安全漏洞可能會導致使用者帳號的 email 或手機號碼洩漏給其他使用者,目前已有 600 萬使用者個資恐遭外洩。
漏洞發生的原因,是當使用者從聯絡人名單(contact lists)或地址簿(address books)上傳到 Facebook 時,Facebook 便會從其他使用者的聯絡人訊息進行比對,加以找出使用者之間的關聯、並進行推薦。這也就是為什麼 Facebook 總是有辦法推薦我們可能認識的朋友。但因為漏洞,部分資訊包含交友建議(friend recommendation)、以及減少 Facebook 邀請數量的訊息,會在無意中被記錄下來。如果使用者帳戶下載了 Download Your Information(DYI)工具,下載了他們的 Facebook 使用者帳戶訊息,即可看到其他聯絡人、或曾經聯絡過的人的 email 或手機電話號碼。
▲Facebook 表示 Download Your Information(DYI)工具會無意透露使用者的 email 或手機號碼。目前 Facebook 安全團隊已修改這項漏洞。
這項漏洞在去年已出現,直到在上週才被發現。Facebook 收到通知之後,已在 24 小時內修補漏洞,但恐怕已有 600 萬使用者帳號的個資已透過 Download Your Information(DYI)工具下載外露,此外還有一些非 Facebook 使用者帳戶的 email 及手機號碼。不過 Facebook 也強調,這些 email 或手機號碼的下載資訊都只被下載1~2次,因此多數情況下只會洩漏給一個人;另外其他個人訊息等敏感內容也不會在下載資訊中。最後只有 Facebook 使用者能使用 Download Your Information(DYI)工具,開發者和廣告商無法取得內容。
Facebook 表示目前尚無證據這項漏洞以被不肖人士使用,也尚未收到使用者投訴或出現異常不法行為,Facebook 以通知美國、加拿大、歐洲的監管機構,並會透過 email 通知個資外洩的使用者帳戶。Facebook 也表示,沒有任何公司可以保證 100% 不會出現漏洞。
6/24 更新:
Facebook 已陸續針對個資遭外洩的使用者發送 email 通知,以下是中文版的內容。
親愛的 使用者(Facebook ID),
對於所有的 Facebook 員工來說,你的隱私極度重要,我們致力於保護你的資訊安全。當我們有許多人力全職投注於防範或解決影響個人隱私重大問題之時,我們在最近未能達到我們的目標,因技術上的錯誤故障導致別人可以存取你的電話號碼或電子郵件。
這個故障問題的影響範圍有限,很有可能只會讓一些你早在 Facebook 以外的其他地方認識的人看到你的電子郵件或電話號碼。換句話說,我們讓你失望了!我們非常嚴正地看待這個問題。
要仔細說明造成這個故障的來龍去脈是非常技術性的問題,不過請容許我們在此解釋問題的產生原因。每當有人上傳他們的聯絡資料或通訊錄到 Facebook 時,我們會試圖比對這份上傳的資料和 Facebook 其他用戶的聯絡資料,藉此產生相關的朋友建議。但是這個故障問題,使得用來產生朋友建議以及減少送出邀請的電子郵件和電話號碼,在無意間連同他們所上傳的聯絡資料一起被儲存在他們的 Facebook 帳號。結果,若是其中有人經由本網站的「下載一份你的資料副本(DYI)」工具下載他們的 Facebook 帳號存檔(其中包括了他們上傳的聯絡人資料),就會因此看到了其他的電子郵件或電話號碼。
以下是你的聯絡資料(沒有預期地被最多不超過 1 位 Facebook 用戶存取):
(email 或 手機號碼)
我們估計大約有 1 名 Facebook 用戶在他們下載自己的帳號副本時,看到了你的姓名旁邊列出了這份額外的資訊。此外,並沒有其他個資洩露,而且看到這份聯絡資料的人很可能並不是陌生人,即使你們並不是在 Facebook 上的朋友。
我們明白無端分享個人聯絡資料是令人無法容忍的錯誤,即使看到這些資料的對方是你的熟人亦然,我們已採取措施預防錯誤再次發生。如要暸解更多有關這個故障問題的資訊,請詳閱我們的部落格文章。
Facebook 的所有員工都將這個問題視為自己的問題。我們感激你仍能繼續使用 Facebook,並將每天努力不懈,勢必傳送你所期望以及你應該享有的服務水準。
謝謝!
Facebook 工作團隊
資料來源:TechCrunch
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!