粉絲團
Facebook 對用戶隱私的保障似乎過隨便了。傳出 Facebook 存在一個漏洞,駭客可以利用隨機的電話號碼,就取得大量的用戶個資!這些資料中竟包含個人檔案、照片、活動地區等資訊。令人詫異的是,Facebook 對此的回應為:我們是故意的。
Facebook 傳出有個資漏洞,官方確回應這是故意設計的(圖片來源/法新社)
根據《theguardian》報導,軟體工程師 Reza Moaiandin 發現,Facebook 的 API 存在一個漏洞,駭客只要利用隨機的電話號碼,就可以檢視用戶的個人資料,包含姓名、照片、地區等等。而這個漏洞存在於 GraphQL 的 API,只要輸入當地格式的電話號碼,Facebook 伺服器就會回傳使用者的個人資料。
Facebook 的這項漏洞,存在於 GraphQL 的 API 中(圖片來源/彭博)
由於個資可以在黑市買賣換取金錢,Reza Moaiandin 擔心這格漏洞會被駭客利用。早在今年 4 月就已經主動向 Facebook 通報有此狀況,但由於工程師無法複製此漏洞狀況,最後無疾而終。7 月時他再次向 Facebook 告知漏洞問題,卻得到Facebook 回應這是刻意設計的機制。
資安部落客建議將 Facebook 上的電話號碼隱私調整,不要顯示為公開(圖片來源/路透社)
然而究竟是什麼理由設計這個機制,Facebook 沒有說明。此外由於 Facebook 沒有限制查詢的數量,駭客可以利用大量的隨機號碼,取得為數可觀的用戶資料!資安部落客 Graham Cluley 提到,在等待 Facebook 強化其隱私機制的同時,建議將電話號碼的分享設定,調整成只顯示給「你的朋友」、或是「只限本人」。
