freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

我们该从Facebook史上最大数据泄露事件中明白什么?
2018-03-29 08:30:22

因多达5000万数据泄露并被政治广告公司利用,这几天的Facebook一直处于负面舆论旋涡中。

2.jpg

人们对这家社交巨头最新的态度可从其最近两天的股价上一览无遗:美东时间3月19日,Facebook因受数据泄露一事影响,股价跌去近6.8%;美东时间3月20日,Facebook股价又再次下跌,盘中最大跌幅高达5.8%,最终以跌幅2.56%收盘,市值跌破5000亿美元。

尽管如此,Facebook高管仍然不认为这是数据泄露,他们在Twitter上表示:

这绝对不是数据泄露。人们选择与第三方应用程序共享他们的数据,如果这些第三方应用程序没有遵循与我们/用户的数据协议,那就是违约行为。没有系统被渗透,没有密码或信息被窃取或被黑客入侵。

Facebook高管尽管给出了他们眼中的事实,现实却往严峻的那一面发展。

数据泄露曝光后,剑桥分析(Cambridge Analytica)公司的CEO Alexander Nix被董事会宣布停职接受调查、Facebook的首席信息安全官Alex Stamos也就此提出了离职。

此外,美FTC开始跟进Facebook数据泄露一事,调查Facebook是否违反了2011年的和解令。据悉,和解令每违反一次,可判处40000美元罚款。有媒体指出,这意味着,如果确实有5000万Facebook用户的数据被泄露的话,Facebook理论上可能会被判处2万亿美元的罚款。

除了美国本土进行的调查之外,英国的国会议员也已经正式要求扎克伯格针对此事来国会接受质询;而欧洲议会主席塔亚尼表示,欧盟议员将调查逾5000万名Facebook用户的数据是否被不当使用。

Facebook信息泄露的根源是什么?

美著名分析师Ben Thompson给出了自己的答案,他在《THE FACEBOOK BRAND》一文中指出,Facebook数据泄露的根源归结于2010年的那场F8大会。

在2010年F8开发者大会上,Facebook推出了Open Graph。为什么要推出这个产品呢?究竟有何用?我们首先从Facebook的当时处境谈起。

Facebook虽然是社交公司,但本质却和谷歌一样,是一家广告公司,然而相对于谷歌而言,那时Facebook的体量小的很多——只有4亿用户,而且还没上市。

作为一家广告公司,数据和用户非常重要,那如何获取呢?Facebook开始效仿谷歌——因为连接的关系,谷歌可以从Web任意获取数据,因此Facebook推出了Social Graph,构建了庞大的数字化关系网获取更多用户。

3.jpg

Facebook的开发者页面上显示给予第三方应用程序的所有数据

为了推动数据交换,Facebook推出了Graph API,后来又引入了图形API……问题的根源就这样一步一步植入下来。

由于社交属性的缘故,一位用户可以连接多位用户,因此一位用户泄露,那么也会泄露他们朋友的信息——这正是被剑桥分析公司利用的地方,通过27万名调查对象,访问了5000万Facebook用户的数据,并用其数据分析实现自己的政治目的:

2014年至2015年期间邀请Facebook用户参加性格测试,并下载了一个手机App,以此为由获取广大用户的个人信息,并利用算法获取投放广告的用户信息,其中包括Facebook用户的身份、朋友关系网和“赞”过的内容,向这些用户进行“精准营销”。

在问题被曝光之前,Facebook根本就没意识到隐患。似乎嫌这样的数据交换还不够,在2018年举行F8的时候,Facebook又大幅放宽了以下的服务条款:

我们有这样的一个政策:你不能储存或缓存数据超过24小时,我们将继续努力并去除这项政策。所以现在,如果有人访问你的网站,并且授予你访问其信息的权限,你就可以存储了。没有必要日复一日地完成相同的API调用了。不再需要构建不同的代码路径来处理Facebook用户与您共享的信息了。我们认为这一步将使Facebook平台的建设更加简单。

我们该明白什么?

从笔者角度来看,尽管把数据泄露这件事的锅甩给Facebook并不完全合适,因为这是一个用户数据信息使用边界的问题。

但Facebook能否在数据安全上做的更多,比如说:

平台是不是应该进一步让用户认识到数据隐私的重要性?

平台开放的API接口给到的数据应该是什么样的一个度?是否不同背景、不同信用等级的开发商给到的数据都有所不同?

开发商应用数据的边界应该限制在什么样的一个范围内?

技术层面,当有人大规模收集、扫描和调用数据时,是否也可以建立一些应急机制,调查是否合理……

数据是未来最大的资产,是21世纪的石油,用好数据不仅可以提高企业自己的产品和服务,也可以攫取大量利润。一旦没有守好数据,那么很有可能成为下一个负面信息的主角。

这是一个互联,且不断保持“在线”的社会,用户不共享自己的数据几乎是不可能的事情,因此法律法规终将完善这一块。

提前设置好边界、做好规则,将是企业发展中最重要的一步。

* 本文作者:wangyiyunyidun,转载注明来自FreeBuf.com

# facebook
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者