FB全球5億個資外洩》住家地址、信用卡號都可能外流⋯使用者如何應對？

2021/04/06

2,945

FB全球5億個資外洩》住家地址、信用卡號都可能外流⋯使用者如何應對？ — Facebook超過5億用戶的個人數據遭到洩露，包括電話號碼、電子郵件。(來源：Dreamstime)

摘要

1.Facebook超過5億用戶的個人數據外洩，包括電話號碼、電子郵件等資料。

2.Facebook已不只一次發生用戶資料洩露事件。許多大型企業（如LinkedIn、雅虎、Adobe）也發生過具代表性的資料外洩事件。

3.過去十年來，除了電話號碼、帳戶資料、電子郵件，用戶居住地址、信用卡資料都曾遭洩。

4.國際上也紛紛制定應對此事的相關法律條令和組織，包括歐盟、加州、新加坡等國皆對此作出行動。

近日，美國社交媒體Facebook超過5億用戶的個人數據遭到洩露，包括電話號碼、電子郵件等資料。俄國媒體稱，Facebook創辦人佐伯格的電話號碼也遭洩露。

據《Business Insider》報導，一個低級別的駭客論壇3日曝光了5.33億FB用戶的個人數據，這些用戶涉及106個國家，洩露的信息包括FacebookID、用戶全名、位置、生日、個人簡介以及電子郵件地址。令大眾吃驚的是，5.33億遭洩用戶資料中，包括3200萬美國用戶，1100萬英國用戶，600萬印度用戶。

俄羅斯衛星通信社4日報導，遭洩露的5.33億Facebook用戶數據中，包含一些名人的資料，佐伯格的電話號碼也在其中。有消息稱，遭洩露的電話號碼與佐伯格的真實號碼是一致的。

網路犯罪情報公司Hudson Rock的技術長Alon Gal首先發現了FB用戶數據外洩，透過比對他所認識的人的訊息，他證實，至少有一部分內容是真實的。事發後，Facebook在4月3日聲明中稱，上述數據來自2019年發生的訊息洩露事件，當年8月已經進行修復。

Facebook已不只一次發生用戶資料洩露事件。此前，Facebook曾將8000萬用戶數據與劍橋分析公司（Cambridge Analytica）進行分享，而後者則將這些數據用於2016年美國大選政治廣告，這嚴重違反了Facebook的服務條款。佐伯格承認對此事負有責任並道歉。隨後，美國聯邦貿易委員會對此事展開調查，並對Facebook開出50億美元罰單。

國際上也有應對此事的相關法律條令和組織，例如歐盟的「GDPR」（一般數據保護規範），是歐盟議會和歐盟理事會在2016年4月通過，2018年5月開始強制實施的規定。

GDPR本質上來說是一系列強制執行隱私條例，規範了企業在對用戶的數據收集、儲存、保護和使用時的新標準；另一方面，對於自身的數據，也給予了用戶更大處理權。雖然GDPR的保護範圍只在歐洲，但考慮到「全球性」是寫入網路基因的屬性，幾乎所有的服務都會受到影響，所以生活在歐洲之外的人，其實也會從此條例中獲益。

據公開訊息披露，如果2018年Facebook的「劍橋分析事件」發生在了GDPR的管轄範圍之內，則其可能被處罰1700萬英鎊或全球營業額4%的巨額罰款。

全球用戶隱私數據洩漏事件愈發頻繁

過去，影響幾百萬人的數據洩露事件就能成為新聞頭條，而如今，影響數億甚至數十億的事件卻比比皆是。《雷鋒網》透過公開資料，對關於21世紀以來的典型的數據洩漏事件整理，得知主要的數據安全洩漏主要發生於以下幾家公司：Adobe、AdultFriendFinder、Canva、Dubsmash、eBay、Equifax、Heartland 支付系統、LinkedIn、My Fitness Pal、MySpace、雅虎、Zynga等。

以下列舉幾件具有代表性的事件：

數據洩漏公司：Adobe；日期：2013年10月、2019年10月；影響：1.53億用戶記錄

2013年10月上旬，根據資安調查記者Brian Krebs的披露，Adobe最初報告說，駭客竊取了將近300萬個加密客戶信用卡記錄，以及數量不確定的用戶登錄訊息帳戶。但後來的調查表明，已有超過1.5億用戶密碼被洩露，駭客還暴露了用戶名稱、ID、密碼以及簽帳金融卡和信用卡資訊。

2015年8月一項協議要求Adobe支付110萬美元的法律費用，並向用戶支付賠償，金額數量並未公開，以解決違反《客戶記錄法》和不公平商業行為的指控。據報導，2016年11月，Adobe支付給客戶的金額為100萬美元。

2019年10月，Adobe再次出現數據洩露事故，超過700萬名用戶受影響，所幸這次洩露的數據不含帳號密碼和信用卡資料等。

數據洩漏公司：AdultFriendFinder；日期：2016年10月；影響：4.122億帳戶

AdultFriendFinder所屬公司被駭客入侵，洩露4.12億用戶數據，這將是2016年最大一次數據洩露事件，也是20年來最大的一次數據洩露事件。

因為公司在資安方面的欠缺，導致幾乎所有的帳戶密碼都洩露了，甚至連已經刪除的帳戶也被駭客翻了出來。在4.12億數據中，有3.39億數據源於AdultFriendFinder網站，其中超過1500萬數據是已被刪除的用戶數據。

仔細分析數據庫之後得知，6200萬數據源於Cams.com，700萬來源於Penthouse.com，其餘的數據則來源其他FriendFinder網站。

數據洩漏公司：eBay；日期：2014年；影響：1.45億用戶

eBay曾於2014年初發生大規模用戶數據洩露事故，約1.45億用戶數據遭洩露，這些數據包括用戶名、電子郵件地址、家庭地址、電話號碼和生日等隱私訊息，但eBay表示用戶密碼經過加密處理，駭客並不容易獲得，而用戶的信用卡數據並未洩露。

eBay的數據洩露規模，甚至超過了美國零售商Target的數據洩露事故（4000萬信用卡遭洩露，1.1億用戶數據遭洩露），不過McAfee的副總裁Raj Samani認為，eBay洩露的數據中未包含信用卡等支付數據，因此情況並沒有Target的數據洩露嚴重。

數據洩漏公司：LinkedIn；日期：2012年（和2016年）；影響：1.65億用戶帳戶

LinkedIn是商務專業人士的主要社交平台。對於希望進行社交工程攻擊的攻擊者來說，LinkedIn極具吸引力。2012年1月，一位名叫「Andrev」的駭客通過原始碼儲存平台Pastebin發布了一則消息，聲稱其攻擊了LinkedIn服務器，並竊取了約1.59億的用戶資料。為證實其行為，他發布了一個包含100個用戶的資料名單，名單中包括帳戶資料、登陸密碼等。據稱，洩露的用戶中包含一些國際知名企業CEO。

然而，直到2016年該事件的影響範圍才完全揭露。出售MySpace數據的駭客，僅用5個比特幣（當時約為2000美元）就提供LinkedIn上的用戶電子郵件地址和密碼。LinkedIn承認已意識到該漏洞，並表示已重設了受影響帳戶的密碼。

數據洩漏公司：MySpace；日期：2013年；影響：3.6億用戶帳戶

早在2007年底，MySpace的Alexa全球排名已經穩定在第6名。曾有數據顯示，每個MySpace註冊用戶的平均瀏覽頁面數高達30以上，用戶黏性極強。而這次事件的主導者就是2012年售賣超過1.64億Linkedln用戶數據的同一個駭客，而該駭客宣稱已經拿到了3.6億MySpace用戶的電子郵件地址以及密碼。

因有3.6億MySpace用戶的帳戶洩漏，在LeakedSource（編按：可搜索的數據庫，其中包含被盜帳戶）和暗網市場The Real Deal上出售，要價為6比特幣（當時約為3000美元）。

據該公司稱，丟失的數據包括在2013年6月11日之前創建的部分帳戶電子郵件、密碼和用戶名。根據HaveIBeenPwned的Troy Hunt的介紹，密碼存儲為SHA-1哈希，密碼的前10個字符轉換為小寫。

數據洩漏公司：雅虎；日期：2013-2014年；影響：30億用戶帳戶

雅虎於2016年9月宣布，自己是2014年數據洩露事件的最大受害者。攻擊者竊取了5億用戶的真實姓名、電子郵件地址、出生日期和電話號碼。大多數洩露的密碼多為散列密碼。

2016年12月，雅虎披露了另一位攻擊者自2013年以來的數據竊取行為，該攻擊行為洩露了10億個用戶帳戶名稱、出生日期、電子郵件地址、密碼及安全性問題和答案。雅虎於2017年10月修訂了這一估計數，總計包含30億用戶。

最初的數據洩露公佈時機不好，因為雅虎正在被Verizon收購，後者最終以44.8億美元的價格收購了Yahoo的核心網路業務。此次洩露事件使公司價值縮水了約3.5億美元。

寫在最後

在全球數據洩漏事件不斷頻發的今日，用戶數據隱私保護變得尤為重要。GDPR是2018年全球跨國公司數據安全領域所關注的焦點。這一年，受GDPR啟發，歐盟之外其他法域國家也推出了綜合性的個人數據安全保護的法規體系。

1.巴西

2018年8月14日，巴西總統批准了《一般資料保護法案》（Lei Geral de Proteção de Dados Pessoais，簡稱LGPD）。LGPD將於18個月過渡期後，在2020年2月15日正式生效。實際執行中，2020年8月26日，波索納洛總統批准了巴西數據保護局（ANPD）的監管結構和整體框架。ANPD將負責監督個人數據保護措施，制定相關指導方針，調查和執行LGPD，並與其他國家數據保護當局展開合作。

就在今年年初，巴西數據保護局（下稱ANPD）向外界公佈了其監管工作戰略規劃及2021年至2022年工作計劃，其中提及，ANPD的機構發展願景即：打造巴西國內及全世界數據保護機構的樣板。

2.美國加州

2018年6月28日，美國加州頒布了《2018年加州消費者隱私保護法》（CCPA），2020年1月1日正式生效。CCPA旨在加強消費者隱私權和數據安全保護，被認為是美國國內最嚴格的隱私立法。

隨後，2020年11月3日，加州投票通過第24號提案，即《加州隱私權法案》（CPRA）。CPRA在去年剛剛生效的CCPA的基礎上，進一步賦予加州居民一些新權利，比如更正個人信息及限制敏感個人信息的使用和披露的權利。

3.新加坡

新加坡的個人數據保護立法已有9年多歷史，其《個人數據保護法令》於2012年10月由議會通過，該法主體部分於2014年7月生效。隨後該國又制定9部配套的附屬立法，其中重要的有2014年《個人數據保護規例》等。

2018年以來，新加坡在個人數據保護法的立法方面，又有一些頗受矚目的新進展，其中主要有2019年1月14日頒布的重要案例、2018年8月31日頒布的《關於國民身份證及其他類別國民身份號碼的（個人數據保護法令）諮詢指南》和2020年5月14日《個人數據保護法（修訂）草案》的公開徵求意見稿等。

而在中國，今年3月19日，國家互聯網信息辦公室表示，目前加緊制定出台《數據安全法》、《個人信息保護法》，從而在法律層面，為數據安全和個人隱私保護提供法律保障。正在加緊制定相關法規標準，建立數據資源的確權、開放、流通以及交易的相關制度，從而在運行機制上進一步完善數據產權保護制度，為數據安全和個人隱私、個人資料保護提供制度保障。

＊本文或「雷鋒網」授權轉載，原文：Facebook超5億用戶數據洩露，近十年全球信息安全問題集中頻發！

責任編輯：李頤欣