Er zijn twee nieuwe gevallen van datasets bloot tonnen informatie van Facebook-gebruikers. Specifieker, een half miljard gegevens van miljoenen gebruikers van Facebook waren open voor het publiek toegankelijk internet. De platen werden gevonden op onbeschermde Amazon cloud servers. Volgens UpGuard Cyber Risk onderzoekers, twee derden ontwikkelde Facebook app datasets werden de gebruikers gegevens bloot te stellen aan het publieke internet.
collectieve cultuur, Bij het zwembad van derden Apps Exposed Facebook Users’ Gegevens
Een van deze apps behoort tot Mexico gevestigde mediabedrijf collectieve cultuur, en het blootgestelde 156 gigabytes aan informatie, met meer dan 540 miljoen records van reacties, sympathieën, reacties, accountnamen, Facebook-ID's, onder andere.
De andere app heet Bij het zwembad, en het ook blootgesteld gevoelige gegevens op het internet via een Amazon S3 bucket. De database backup bevatte columns voor fk_user_id, fb_user, fb_friends, fb_likes, fb_music, fb_movies, fb_books, fb_photos, fb_events, fb_groups, fb + checkins, fb_interests, wachtwoord, en. De wachtwoorden het meest waarschijnlijk behoren tot de Bij het zwembad app in plaats van voor de gebruiker Facebook-account, maar zou gebruikers in gevaar brengen die hetzelfde wachtwoord op accounts hebben hergebruikt, de onderzoekers waarschuwden.
Opgemerkt dient te worden dat de bij het zwembad ontdekking is niet zo groot als de collectieve cultuur dataset, maar het bevat nog plaintext wachtwoorden voor 22,000 gebruikers, een hoeveelheid die niet te onderschatten. Bovendien, Bij het zwembad niet langer werken zoals het eindigde in 2014, met website van het moederbedrijf momenteel het retourneren van een 404 kennisgeving error. Dit feit is een beetje een opluchting om de app eindgebruikers waarvan de namen, wachtwoorden, e-mailadressen, Facebook-ID's, en andere details werden openlijk blootgesteld gedurende een onbekende periode van tijd.
"De datasets variëren in toen ze voor het laatst bijgewerkt, de datapunten, en het aantal unieke individuen in elk", aldus het rapport. Wat al datasets met elkaar gemeen hebben is dat ze allemaal afkomstig zijn van Facebook-gebruikers en aanwezig gevoelige informatie in detail, zoals belangen, relaties, en interacties. Deze gegevens waren beschikbaar voor third-party app-ontwikkelaars.
Gegevens over Facebook-gebruikers is zich ongecontroleerd verspreidt, en Facebook is niet in staat om dingen in orde. Dit feit, gecombineerd met de overvloed van persoonsgegevens met opslagtechnologieën die vaak verkeerd geconfigureerd voor toegang van het publiek, en je hebt tal van gegevens over de Facebook-gebruikers die nog steeds lekken.
What Did UpGuard Onderzoekers Do?
Met betrekking tot de Cultura Colectiva data, eerste kennisgeving e-mail van de onderzoekers is verzonden op 10 januari, 2019. Het team stuur dan een tweede e-mail op 14 januari. Tot op de dag is er geen reactie op een van de e-mails is geweest.
Als gevolg van de gegevens die worden opgeslagen in Amazon S3 cloud storage, de onderzoekers gemeld ook Amazon Web Services op 28 januari. AWS stuurde een reactie op 1 februari te zeggen dat “dat de eigenaar van de emmer op de hoogte van de blootstelling werd gemaakt".
Wanneer 21 februari rolde rond en de gegevens nog steeds niet beveiligd, wij opnieuw stuurde een e-mail naar Amazon Web Services. AWS weer gereageerd op diezelfde dag waarin staat dat ze zou onderzoeken verdere potentiële manieren om de situatie om te gaan. Het was pas de ochtend van 3 april, 2019, na Facebook werd gecontacteerd door Bloomberg voor commentaar, dat de database back-up, binnen een AWS S3 storage bucket getiteld “cc-datalake,”Werd uiteindelijk beveiligd.
Wat betreft de gegevens die voortvloeien uit bij de Pool app, het werd offline gehaald gedurende de tijd dat de onderzoekers onderzochten de gegevens oorsprong. Dit gebeurde voorafgaand aan een formele aanmelding e-mail werd verzonden. Het is onduidelijk of dit een toeval, als er een hosting periode lapse, of als een verantwoordelijke partij werd zich bewust van de exposure op dat moment, en nam snel acties. Niettemin, de aanvraag niet meer actief is en alle tekenen wijzen op haar moedermaatschappij te hebben stilgelegd, concludeerden de onderzoekers.
Een ander recent voorbeeld is gebleken dat een derde Android app met Facebook API-toegang is het kopiëren van gebruikersgegevens in de opslag buiten Facebook. Bovendien, de gegevens werden onveilig opgeslagen in twee locations.The kwestie werd gemeld aan Facebook via hun gegevens Abuse Bounty programma, en de opslaglocaties beveiligd waren in november vorig jaar. Omdat de app zelf, het werd van Facebook verwijderd, maar de Android-versie is nog steeds beschikbaar in Google Play. Het ergste is dat het aantal gebruikers getroffen door deze schending is onbekend.