Il y a deux nouveaux cas d'ensembles de données exposant des tonnes d'informations appartenant aux utilisateurs de Facebook. Plus précisement, un demi-milliard d'enregistrements de millions d'utilisateurs de Facebook ont été ouvertement à la disposition de l'Internet public. Les enregistrements ont été trouvés sur les serveurs cloud non protégés Amazon. Selon UpGuard Cyber chercheurs de risque, deux tiers des jeux de données développés app Facebook exposaient les détails des utilisateurs à l'Internet.
culture collective, À la piscine Third Party Apps Exposed utilisateurs de Facebook’ Données
L'une de ces applications appartient à la société de médias basée à Mexico culture collective, et exposé 156 giga-octets d'informations, contenant plus de 540 millions d'enregistrements de commentaires, aime, réactions, les noms de compte, Facebook ID, parmi d'autres.
L'autre application est appelée À la piscine, et il a également exposé les détails sensibles à Internet via un seau Amazon S3. La sauvegarde de base de données contient des colonnes pour fk_user_id, fb_user, fb_friends, fb_likes, fb_music, fb_movies, fb_books, fb_photos, fb_events, fb_groups, fb + checkins, fb_interests, mot de passe, et de plus. Les mots de passe appartiennent probablement à la À la piscine application plutôt que pour le compte Facebook de l'utilisateur, mais mettrait les utilisateurs à risque qui ont réutilisé le même mot de passe sur les comptes, les chercheurs ont mis en garde contre.
Il convient de noter que la découverte à la piscine est pas aussi grande que la culture collective base de données, mais il contient encore des mots de passe pour plaintext 22,000 utilisateurs, un montant qui ne devrait pas être sous-estimée. En outre, À la piscine ne fonctionne pas plus qu'elle a pris fin en 2014, avec le site Web de la société mère en retournant un 404 avis d'erreur. Ce fait est un peu un soulagement aux utilisateurs finaux dont le nom de l'application, les mots de passe, adresses e-mail, Facebook ID, et d'autres détails ont été ouvertement exposés pendant une période indéterminée.
"Les ensembles de données varient quand ils dernière mise à jour, les points de données présents, et le nombre d'individus uniques dans chaque", le rapport. Ce que tous les ensembles de données ont en commun est qu'ils proviennent tous utilisateurs de Facebook et présente des informations sensibles en détail, tels que les intérêts, des relations, et les interactions. Ces détails étaient disponibles pour les développeurs d'applications tiers.
Les données sur les utilisateurs de Facebook a été répandaient de façon incontrôlable, et Facebook est incapable de mettre les choses en ordre. Ce fait combiné avec l'abondance des données personnelles avec les technologies de stockage qui sont souvent mal configuré pour l'accès public, et vous avez des tonnes de données sur les utilisateurs de Facebook qui continue à fuir.
Qu'est-ce que UpGuard Les chercheurs Do?
En ce qui concerne les données Colectiva Cultura, le premier e-mail de notification des chercheurs a été envoyée le 10 Janvier, 2019. L'équipe envoyer un second e-mail le 14 Janvier. A ce jour, il n'y a pas eu de réponse à l'un des e-mails.
En raison des données stockées dans le stockage cloud Amazon S3, les chercheurs ont également informé Amazon Web Services le 28 Janvier. AWS a envoyé une réponse le 1er Février disant que «que le propriétaire du seau a pris connaissance de l'exposition".
Lorsque 21e Février roulé autour et les données n'a toujours pas été fixée, nous avons envoyé un e-mail à nouveau à Amazon Web Services. AWS a répondu à nouveau ce jour-là même indiquant qu'ils examineraient d'autres moyens possibles pour gérer la situation. Ce ne fut que le matin du 3 Avril, 2019, après Facebook a été contacté par Bloomberg pour commentaires, que la sauvegarde de base de données, l'intérieur d'un godet de stockage AWS S3 intitulé « cc-datalake,» A finalement été obtenu.
En ce qui concerne les données issues de l'application à la piscine, il avait été mis hors ligne pendant le temps des chercheurs enquêtaient sur l'origine des données. Cela est arrivé avant un e-mail de notification officielle était envoyé. On ne sait pas si cela est une coïncidence, s'il y avait un laps de période d'hébergement, ou si une partie responsable a pris connaissance de l'exposition à ce moment-là, et a pris des mesures rapidement. Cependant, l'application est plus active et tous les signes pointent vers sa société mère ayant arrêté, les chercheurs ont conclu.
Un autre exemple récent a révélé qu'un tiers application Android avec accès API Facebook copiait les données utilisateur dans le stockage extérieur de Facebook. En outre, les données ont été stockées dans deux insécurisée numéro emplacements.Procédé a été signalé à Facebook grâce à leur programme de primes de données abus, et les emplacements de stockage ont été fixés en Novembre l'année dernière. Comme l'application elle-même, il a été retiré de Facebook, mais la version Android est toujours disponible dans Google Play. Le pire est que le nombre d'utilisateurs touchés par cette violation est inconnue.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: