Ci sono due nuovi casi di insiemi di dati che espongono tonnellate di informazioni appartenenti a utenti di Facebook. Più specificamente, mezzo miliardo di record di milioni di utenti di Facebook sono stati apertamente a disposizione del pubblico a Internet. Le registrazioni sono state trovate su server cloud di Amazon non protetti. Secondo i ricercatori di rischio UpGuard Cyber, due di terze parti sviluppate Facebook App insiemi di dati sono stati esponendo i dettagli degli utenti alla rete Internet pubblica.
cultura collettiva, In questo Facebook Pool applicazioni di terzi a vista’ dati
Una di queste applicazioni appartiene alla società di media con sede in Messico cultura collettiva, ed è esposto 156 gigabyte di informazioni, contenente oltre 540 milione di registrazioni di commenti, piace, reazioni, nomi di account, Facebook ID, tra gli altri.
L'altra applicazione si chiama In piscina, ed è anche esposto i dettagli sensibili a Internet tramite un secchio di Amazon S3. Il backup del database conteneva le colonne per fk_user_id, fb_user, fb_friends, fb_likes, fb_music, fb_movies, fb_books, fb_photos, fb_events, fb_groups, fb + checkin, fb_interests, parola d'ordine, e altro ancora. Le password molto probabilmente appartengono alla In piscina app piuttosto che per conto di Facebook dell'utente, ma metterebbe a rischio gli utenti che hanno riutilizzato la stessa password in conti, i ricercatori hanno messo in guardia.
Va notato che il Alla scoperta piscina non è grande come la cultura collettiva dataset, ma contiene comunque password in chiaro per 22,000 utenti, un importo che non va sottovalutato. In aggiunta, Alla piscina non funziona più come si è conclusa in 2014, con il sito della casa madre al momento di restituire un 404 notifica di un errore. Questo fatto è un po 'un sollievo per gli utenti finali della app i cui nomi, password, indirizzo di posta elettronica, Facebook ID, e altri dettagli sono stati apertamente esposti per un periodo di tempo indeterminato.
"I set di dati variano a quando erano ultimo aggiornamento, i punti di dati attuali, e il numero di individui unici in ogni", dice il rapporto. Quello che tutti i set di dati hanno in comune è che tutti provengono da utenti di Facebook e le informazioni sensibili presenti in dettaglio, quali interessi, relazioni, e interazioni. Questi dettagli sono stati disponibili per gli sviluppatori di applicazioni di terze parti.
I dati sugli utenti di Facebook è stato diffondendo in maniera incontrollata, e Facebook è incapace di mettere le cose in ordine. Questo fatto combinato con l'abbondanza di dati personali con tecnologie di storage che sono spesso configurato correttamente per l'accesso pubblico, e si dispone di tonnellate di dati sugli utenti di Facebook che continua a perdere.
Che cosa ha fatto UpGuard ricercatori Do?
Per quanto riguarda i dati Cultura Colectiva, prima e-mail di notifica dei ricercatori è stata inviata il 10 gennaio, 2019. Il team di inviare una seconda e-mail il 14 gennaio. Fino ad oggi non c'è stata alcuna risposta a qualsiasi posta elettronica.
A causa dei dati che vengono memorizzati nella cloud storage S3 di Amazon, i ricercatori hanno anche notificato Amazon Web Services il 28 gennaio. AWS ha inviato una risposta il 1 ° febbraio dicendo che “che il proprietario del secchio era a conoscenza dell'esposizione".
Quando 21 febbraio arrotolata intorno e il dato non è stato ancora assicurato, abbiamo ancora una volta inviato un'e-mail per Amazon Web Services. AWS ancora una volta ha risposto lo stesso giorno affermando che avrebbero cercato di ulteriori potenziali modi per gestire la situazione. Non è stato fino alla mattina del 3 aprile, 2019, dopo Facebook è stato contattato da Bloomberg per un commento, che il backup del database, all'interno di una benna di immagazzinaggio AWS S3 intitolato “cc-datalake,”È stato finalmente ottenuto.
Per quanto riguarda i dati derivanti dalla Alla app Pool, che era stata presa in linea durante il tempo i ricercatori stavano indagando l'origine dei dati. Questo è accaduto prima di una e-mail di notifica formale, l'invio dei. Non è chiaro se si tratta di una coincidenza, se ci fosse un periodo di decadenza di hosting, o se una parte responsabile è venuto a conoscenza dell'esposizione in quel momento, e ha preso le azioni in fretta. Ciò nonostante, l'applicazione non è più attivo e tutti gli indizi portano alla sua società madre dopo aver chiuso, i ricercatori hanno concluso.
Un altro esempio recente ha rivelato che una terza parte Android app Facebook accesso API stava copiando i dati degli utenti in deposito al di fuori di Facebook. Inoltre, i dati sono stati memorizzati in due insecurely problema locations.The è stato segnalato su Facebook attraverso il loro programma di taglie di abuso dei dati, e le posizioni di memoria sono stati garantiti nel novembre dello scorso anno. Come l'applicazione stessa, è stato rimosso da Facebook, ma la versione di Android è ancora disponibile in Google Play. La parte peggiore è che il numero di utenti colpiti da questa violazione è sconosciuta.