Ci sono due nuovi casi di insiemi di dati che espongono tonnellate di informazioni appartenenti a utenti di Facebook. Più specificamente, mezzo miliardo di record di milioni di utenti di Facebook sono stati apertamente a disposizione del pubblico a Internet. Le registrazioni sono state trovate su server cloud di Amazon non protetti. Secondo i ricercatori di rischio UpGuard Cyber, due di terze parti sviluppate Facebook App insiemi di dati sono stati esponendo i dettagli degli utenti alla rete Internet pubblica.
cultura collettiva, In questo Facebook Pool applicazioni di terzi a vista’ dati
Una di queste applicazioni appartiene alla società di media con sede in Messico cultura collettiva, ed è esposto 156 gigabyte di informazioni, contenente oltre 540 milione di registrazioni di commenti, piace, reazioni, nomi di account, Facebook ID, tra gli altri.
L'altra applicazione si chiama In piscina, ed è anche esposto i dettagli sensibili a Internet tramite un secchio di Amazon S3. Il backup del database conteneva le colonne per fk_user_id, fb_user, fb_friends, fb_likes, fb_music, fb_movies, fb_books, fb_photos, fb_events, fb_groups, fb + checkin, fb_interests, parola d'ordine, e altro ancora. Le password molto probabilmente appartengono alla In piscina app piuttosto che per conto di Facebook dell'utente, ma metterebbe a rischio gli utenti che hanno riutilizzato la stessa password in conti, i ricercatori hanno messo in guardia.
Va notato che il Alla scoperta piscina non è grande come la cultura collettiva dataset, ma contiene comunque password in chiaro per 22,000 utenti, un importo che non va sottovalutato. In aggiunta, Alla piscina non funziona più come si è conclusa in 2014, con il sito della casa madre al momento di restituire un 404 notifica di un errore. Questo fatto è un po 'un sollievo per gli utenti finali della app i cui nomi, password, indirizzo di posta elettronica, Facebook ID, e altri dettagli sono stati apertamente esposti per un periodo di tempo indeterminato.
"I set di dati variano a quando erano ultimo aggiornamento, i punti di dati attuali, e il numero di individui unici in ogni", dice il rapporto. Quello che tutti i set di dati hanno in comune è che tutti provengono da utenti di Facebook e le informazioni sensibili presenti in dettaglio, quali interessi, relazioni, e interazioni. Questi dettagli sono stati disponibili per gli sviluppatori di applicazioni di terze parti.
I dati sugli utenti di Facebook è stato diffondendo in maniera incontrollata, e Facebook è incapace di mettere le cose in ordine. Questo fatto combinato con l'abbondanza di dati personali con tecnologie di storage che sono spesso configurato correttamente per l'accesso pubblico, e si dispone di tonnellate di dati sugli utenti di Facebook che continua a perdere.
Che cosa ha fatto UpGuard ricercatori Do?
Per quanto riguarda i dati Cultura Colectiva, prima e-mail di notifica dei ricercatori è stata inviata il 10 gennaio, 2019. Il team di inviare una seconda e-mail il 14 gennaio. Fino ad oggi non c'è stata alcuna risposta a qualsiasi posta elettronica.
A causa dei dati che vengono memorizzati nella cloud storage S3 di Amazon, i ricercatori hanno anche notificato Amazon Web Services il 28 gennaio. AWS ha inviato una risposta il 1 ° febbraio dicendo che “che il proprietario del secchio era a conoscenza dell'esposizione".
Quando 21 febbraio arrotolata intorno e il dato non è stato ancora assicurato, abbiamo ancora una volta inviato un'e-mail per Amazon Web Services. AWS ancora una volta ha risposto lo stesso giorno affermando che avrebbero cercato di ulteriori potenziali modi per gestire la situazione. Non è stato fino alla mattina del 3 aprile, 2019, dopo Facebook è stato contattato da Bloomberg per un commento, che il backup del database, all'interno di una benna di immagazzinaggio AWS S3 intitolato “cc-datalake,”È stato finalmente ottenuto.
Per quanto riguarda i dati derivanti dalla Alla app Pool, che era stata presa in linea durante il tempo i ricercatori stavano indagando l'origine dei dati. Questo è accaduto prima di una e-mail di notifica formale, l'invio dei. Non è chiaro se si tratta di una coincidenza, se ci fosse un periodo di decadenza di hosting, o se una parte responsabile è venuto a conoscenza dell'esposizione in quel momento, e ha preso le azioni in fretta. Ciò nonostante, l'applicazione non è più attivo e tutti gli indizi portano alla sua società madre dopo aver chiuso, i ricercatori hanno concluso.
Un altro esempio recente ha rivelato che una terza parte Android app Facebook accesso API stava copiando i dati degli utenti in deposito al di fuori di Facebook. Inoltre, i dati sono stati memorizzati in due insecurely problema locations.The è stato segnalato su Facebook attraverso il loro programma di taglie di abuso dei dati, e le posizioni di memoria sono stati garantiti nel novembre dello scorso anno. Come l'applicazione stessa, è stato rimosso da Facebook, ma la versione di Android è ancora disponibile in Google Play. La parte peggiore è che il numero di utenti colpiti da questa violazione è sconosciuta.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: