HackerNews 编译,转载请注明出处:
攻击者声称通过滥用Meta旗下Facebook的应用程序接口(API)非法获取了包含12亿条用户记录的数据库,并将该数据集发布于知名数据泄露论坛。若得到证实,这将成为Facebook历史上最大规模的数据泄露事件之一。
网络安全媒体Cybernews研究团队对攻击者提供的10万条样本数据进行核查,发现其中包含用户ID、姓名、电子邮箱、用户名、电话号码、地理位置、生日及性别等敏感信息,初步分析显示样本数据格式完整且逻辑合理。但研究人员对“12亿条全新数据”的宣称持审慎态度,因该攻击者此前仅发布过两次数据帖,推测可能通过分批次爬取累积至此规模。
此次事件再次暴露Facebook在API安全防护上的系统性缺陷。2021年曾有攻击者泄露超5亿用户电话号码与地理位置信息,导致欧盟罚款2.65亿欧元。研究人员指出,此类重复性事件表明Meta在数据安全措施上长期采取被动应对策略,尤其在保护公开可见但依然敏感的隐私数据方面存在严重疏漏。缺乏有效防护机制使数亿用户面临钓鱼攻击、金融诈骗及身份盗用风险。
攻击者利用此类大规模数据库可实施自动化攻击,例如向用户精准推送伪装成Facebook登录页面的钓鱼链接,或结合地理位置与生日信息设计定向诈骗剧本。安全专家强调,攻击者通过API接口超量获取数据已成行业顽疾,Shopify、GoDaddy等平台近年均遭遇类似攻击。API作为现代互联网服务的基础组件,其滥用问题亟待技术性与监管层面的双重解决方案。
Meta此前承认使用公开的Facebook与Instagram数据训练AI助手,此举引发隐私合规争议。目前Meta尚未就此次泄露事件发表声明,爱尔兰数据保护委员会正评估事件影响范围。欧盟监管部门重申将依据GDPR第25条“通过设计保护数据”原则,加大对科技企业数据滥用行为的处罚力度。安全社区建议用户立即启用双重验证并监控账户异常活动。
消息来源:cybernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
