Facebook再爆数据丑闻,这次是内鬼
当地时间星期五,Facebook起诉其内部两名乌克兰员工,利用测试应用收集用户的私密数据,并在用户的消息流中插入广告。在2017年至2018年期间,诱使Facebook用户安装自称与星座、性格测试有关的恶意浏览器插件,受影响的用户达到约6.3万人,其中主要是俄罗斯和乌克兰用户。
这些App利用了Facebook的登录功能,承诺只收集有限的信息。但是应用会诱导用户安装浏览器插件,从而使他们能获得用户Facebook(和其他社交网络)账户的访问权限。
Facebook在起诉书中称,除自行发布广告外,被告还收集了用户的公开档案信息和不公开的好友列表。他们还可能与去年出售8.1万名用户私密信息的事件有关,“给Facebook的声誉造成不可挽回的损害”。
Facebook认为,通过安装插件,用户“实际上自己破坏了浏览器的安全性”。这使得这一事件与剑桥分析数据泄露丑闻之间存在重大区别,后者事件中“剑桥分析”公司曾在2016美国大选期间,利用Facebook 上5000万名用户资料进行分析,最终利用“读心”有术,向5000万名 Facebook用户发送“专属”政治广告,左右选民投票。这一次事件里的黑客并没有研究用户心理和偏向,而只是单纯地诱导用户去下载安装恶意插件。
但是,如果Facebook没有授予这两位来自乌克兰的员工为开发者的职位,他们将不可以使用登陆功能,那么攻击将不会得逞。
被告在2016至2018年期间使用虚假名字注册了账户,Facebook“通过恶意插件调查”发现了他们的行为,在2018年10月12日前后关闭了所有相关账户,然后与浏览器开发商接洽,确保恶意插件被清除。
Facebook起诉两名被告在未经授权的情况下访问其数据触犯了《计算机欺诈和滥用法案》,把自己“伪装”成开发者违犯了合同,涉嫌欺诈。Facebook调查这一事件的支出超过7.5万美元,这一事件“妨碍和破坏了Facebook与其用户的关系”。
尽管Facebook现在起诉了员工滥用用户数据,但Facebook自己本身使用用户数据的行为也频频被媒体曝光,甚至受到了GDPR的处罚。
而现在,又有美国参议员提出科技公司在出售用户数据的时候应该纳税。近日在美国德州举办的西南偏南(SXSW)大会上,明尼苏达州参议员和总统候选人埃米·克洛布彻(Amy Klobuchar)在接受采访时表示:像Facebook这样的平台使用我们的数据,而我们就是它们的商品,但是我们并没有从中获取任何东西。当它们将我们的数据出售给其他人的时候,应该告诉政府可以对其征税。
很显然,Facebook在用户隐私这件事上还有很长的路要走......
最后,作为科技公司,应该如何防止内鬼呢?
1、制定明确的简明安全策略及方案、程序管理要求、访问机制、明确用户责任和安全事件应急响应程序。
2、营造浓厚的网络安全文化,各个相关部门尽可能沟通并强调安全的重要性。
3、周期性的对所有员工进行安全意识培训,提高企业整体网络安全、数据安全保护意识,增强个人安全保护基本技能。
4、将网络安全理念贯穿到业务流程中。构建应用程序时,人们才会考虑网络安全问题,但往往忽略了员工和承包商如何履行自身的安全职责。将网络安全融入到接触宝贵资产的各方日常业务流程,从而减少非恶意的风险行为。
5、积极管理访问权限,尤其特权访问。用户的访问权限就是内部人员(和恶意攻击者)企图破坏的入口。最小化访问权限,且仅提供给必需的账户。但实现访问控制管理不能一蹴而就,需要根据组织变动和人事变动定期审查及时更新。
6、识别核心数据和关键业务系统。当谈及最具重要的资产时,管理攻击面(一般包括用户访问和漏洞)更为重要。然而在特殊时候,需要重点保护这些极其重要的公司资产之前,组织机构需要了解具体的资产及其所在位置。
7、执行主动与被动控制,阻止敏感数据从组织内部流失,并监控用户行为是否异常。异常检测是识别用户执行异常活动(不一定会引发任何政策预警)的唯一途径。要优先应对最关键的威胁,并在最大程度上减少误报,将行为分析与其它风险因素关联,包括推动威胁成功的相关漏洞、攻击对组织机构带来金融或任务影响,以及资产价值。此外,从程序所有者(管理被攻击资产)处取得资格,协助判断异常活动是否属于正当业务行为。
参考来源:
新浪科技
凤凰网科技
E安全
- End -
(晋级赛Q1正在火热进行中~!)
热门文章阅读
公众号ID:ikanxue
官方微博:看雪安全
商务合作:wsc@kanxue.com
点击阅读原文,了解更多~