当地时间星期五，Facebook起诉其内部两名乌克兰员工，利用测试应用收集用户的私密数据，并在用户的消息流中插入广告。在2017年至2018年期间，诱使Facebook用户安装自称与星座、性格测试有关的恶意浏览器插件，受影响的用户达到约6.3万人，其中主要是俄罗斯和乌克兰用户。

这些App利用了Facebook的登录功能，承诺只收集有限的信息。但是应用会诱导用户安装浏览器插件，从而使他们能获得用户Facebook（和其他社交网络）账户的访问权限。

Facebook在起诉书中称，除自行发布广告外，被告还收集了用户的公开档案信息和不公开的好友列表。他们还可能与去年出售8.1万名用户私密信息的事件有关，“给Facebook的声誉造成不可挽回的损害”。

Facebook认为，通过安装插件，用户“实际上自己破坏了浏览器的安全性”。这使得这一事件与剑桥分析数据泄露丑闻之间存在重大区别，后者事件中“剑桥分析”公司曾在2016美国大选期间，利用Facebook 上5000万名用户资料进行分析，最终利用“读心”有术，向5000万名 Facebook用户发送“专属”政治广告，左右选民投票。这一次事件里的黑客并没有研究用户心理和偏向，而只是单纯地诱导用户去下载安装恶意插件。

但是，如果Facebook没有授予这两位来自乌克兰的员工为开发者的职位，他们将不可以使用登陆功能，那么攻击将不会得逞。

被告在2016至2018年期间使用虚假名字注册了账户，Facebook“通过恶意插件调查”发现了他们的行为，在2018年10月12日前后关闭了所有相关账户，然后与浏览器开发商接洽，确保恶意插件被清除。

Facebook起诉两名被告在未经授权的情况下访问其数据触犯了《计算机欺诈和滥用法案》，把自己“伪装”成开发者违犯了合同，涉嫌欺诈。Facebook调查这一事件的支出超过7.5万美元，这一事件“妨碍和破坏了Facebook与其用户的关系”。

尽管Facebook现在起诉了员工滥用用户数据，但Facebook自己本身使用用户数据的行为也频频被媒体曝光，甚至受到了GDPR的处罚。

而现在，又有美国参议员提出科技公司在出售用户数据的时候应该纳税。近日在美国德州举办的西南偏南（SXSW）大会上，明尼苏达州参议员和总统候选人埃米·克洛布彻（Amy Klobuchar）在接受采访时表示：像Facebook这样的平台使用我们的数据，而我们就是它们的商品，但是我们并没有从中获取任何东西。当它们将我们的数据出售给其他人的时候，应该告诉政府可以对其征税。

很显然，Facebook在用户隐私这件事上还有很长的路要走......

最后，作为科技公司，应该如何防止内鬼呢？

1、制定明确的简明安全策略及方案、程序管理要求、访问机制、明确用户责任和安全事件应急响应程序。

2、营造浓厚的网络安全文化，各个相关部门尽可能沟通并强调安全的重要性。

3、周期性的对所有员工进行安全意识培训，提高企业整体网络安全、数据安全保护意识，增强个人安全保护基本技能。

4、将网络安全理念贯穿到业务流程中。构建应用程序时，人们才会考虑网络安全问题，但往往忽略了员工和承包商如何履行自身的安全职责。将网络安全融入到接触宝贵资产的各方日常业务流程，从而减少非恶意的风险行为。

5、积极管理访问权限，尤其特权访问。用户的访问权限就是内部人员（和恶意攻击者）企图破坏的入口。最小化访问权限，且仅提供给必需的账户。但实现访问控制管理不能一蹴而就，需要根据组织变动和人事变动定期审查及时更新。

6、识别核心数据和关键业务系统。当谈及最具重要的资产时，管理攻击面（一般包括用户访问和漏洞）更为重要。然而在特殊时候，需要重点保护这些极其重要的公司资产之前，组织机构需要了解具体的资产及其所在位置。

7、执行主动与被动控制，阻止敏感数据从组织内部流失，并监控用户行为是否异常。异常检测是识别用户执行异常活动（不一定会引发任何政策预警）的唯一途径。要优先应对最关键的威胁，并在最大程度上减少误报，将行为分析与其它风险因素关联，包括推动威胁成功的相关漏洞、攻击对组织机构带来金融或任务影响，以及资产价值。此外，从程序所有者（管理被攻击资产）处取得资格，协助判断异常活动是否属于正当业务行为。

参考来源：

• 新浪科技

• 凤凰网科技

• E安全

公众号ID：ikanxue

官方微博：看雪安全

商务合作：wsc@kanxue.com

点击阅读原文，了解更多~