【快訊】Facebook 5.3億使用者資料遭公開,專家警示防範網路騙局
編譯:許 斌 博士
審閱:葉奇鑫 律師
王慕民 律師
全文約900字,閱讀約需3分鐘
● 5.3億使用者資料驚現網路
據媒體報導,約5.3億名Facebook使用者帳號資料在駭客網站公開,內容包括使用者全名、電話號碼、email地址等,受影響的使用者遍布全球106個國家。這批使用者資料在今(2021)年1月即已在網路上低價販售,至4月初則全部免費公開(註1)。
網路上公開之資料真實性相當可靠。據媒體查證,透過這批資料揭露的電話號碼,其記者成功撥通歐盟執委會司法執委Didier Reynders、盧森堡總理Xavier Bettel等人的私人電話(註2)。此外亦有媒體報導,Facebook CEO馬克 · 祖伯格本人的電話號碼也已被揭露(註3)。
● 不是被駭,是資料被抓取
4月6日,Facebook就資料外洩事件發出聲明(註4),表示這批資料僅包括使用者帳號的公開資訊,而不包括金融資料、健康資料或密碼。這些資料並非被駭,而是由第三方在2019年9月前以爬蟲(scraping)技術惡意取得。
2019年9月之前,Facebook的匯入聯絡人功能存在漏洞,使得有心人士得利用爬蟲技術,擷取使用者的公開資料。Facebook在識別該漏洞後,已採取措施防範此類爬取資料的行為。
● 公開資料之濫用風險
Facebook在4月7日表示,其並未向受影響的使用者通知本次事件,原因在於其無法充分確定哪些使用者需要獲得通知(註5)。
Facebook雖表示這批資料不含敏感內容,但資料的內容與性質,仍使得當事人面臨相當之詐欺、身份盜用及其他濫用風險。德國資料保護與資訊自由委員會主席Ulrich Kelber亦在Twitter表示,其因為此次外洩收到了詐騙簡訊(註6)。
● 主管機關採取行動
Facebook個資外洩消息一出,主管機關紛紛展開行動。
香港個人資料私隱官員公署首先發出警示(註7),並要求Facebook香港分公司提供有關資料。此後,新加坡(註8)以及歐盟的個資或資安監管機關,包括愛爾蘭資料保護委員會(DPC)(註9)、法國國家資訊自由委員會(CNIL)(註10)、比利時資料保護署(DPA)(註10)等紛紛發出相關聲明。
歐盟資通安全署(ENISA)建議使用者透過HaveIBeenPwned網站查驗自己的資料是否已被抓取。而主管監管建議的其他防範措施包括勿信可疑簡訊、及時修改密碼、避免訪問不安全網站等。
______________________________
註1:https://www.businessinsider.com/stolen-data-of-533-million-facebook-users-leaked-online-2021-4。
註2:https://www.politico.eu/article/eu-leaders-facebook-data-leak-cybersecurity-didier-reynders/。
註3:https://www.bbc.com/news/technology-56650387。
註5:https://www.reuters.com/article/idUSL1N2M0269。
註6:https://twitter.com/UlrichKelber/status/1379081494099017730。
註7:https://www.pcpd.org.hk/english/news_events/media_statements/press_20210404.html。
註8:https://www.csa.gov.sg/singcert/advisories/ad-2021-004。
註9:https://www.dataprotection.ie/en/news-media/press-releases/dpc-statement-re-dataset-appearing-online。
註10:https://www.cnil.fr/fr/fuite-de-donnees-facebook-comment-proteger-vos-donnees。
※歡迎註明出處後轉載。