日前,Meta再爆用戶數據泄露事件。據外媒Cybernews報導,某境外黑客論壇上的一則帖子正在公然兜售來自84個國家和地區的4.87億條用戶數據,而這些數據均來自Meta旗下通信軟件WhatsApp。
4.87億用戶數據在黑客被叫賣
據售賣者稱這些數據均為2022年的最新活躍用戶數據,其中有3200萬條來自美國,4500萬條來自埃及,1000萬條來自俄羅斯,甚至還有67萬條中國用戶的數據。
來自多個不同國家和地區
據Cybernews稱,他們從黑客論壇上的WhatsApp數據庫賣家處獲取了一份數據樣本用於驗證,這份樣本中有1097個英國用戶和817個美國用戶的號碼。Cybernews調查了樣本中的電話號碼,證實了他們確實是WhatsApp用戶。
就在一個月前,扎克伯格還在自己的Instagram上發文說WhatsApp採用端到端加密,比iMessage更安全,不過他說的是發信息更安全,沒說用戶數據安全,倒也不算打臉。
扎克伯格聲稱WhatsApp比iMessage更安全
數據庫怎麼偷?
那麼數據庫到底是怎麼被盜的呢?
虎嗅就此詢問了多位國內安全廠商的技術負責人,了解到,大規模的數據泄漏可能因為多種問題。此前領英和WhatsApp的數據泄漏事件中,就曾出現過攻擊者利用自動抓取工具,從網站暴露的多個未授權應用程序編程接口(API)獲取數據。2020年初,新浪微博也曾有過5億用戶數據被抓取,拖到暗網上售賣的傳聞。
攻擊者也可能瞄準網站的程序供應鏈,攻擊安全防護較差的第三方程序。而最直接的方式就是通過數據庫注入,對數據庫進行查詢,直接「拖庫」。
此外,有的服務商數據安全意識較差,或系統陳舊,數據未採用加密、脫敏等手段進行存儲,也大大提高了數據泄露到風險。國內論壇CSDN和天涯網在很早以前也曾出現過明文保存密碼導致用戶敏感信息泄露事件。
對扎克伯格來說不是第一次
4.87億用戶數據泄露聽起來非常糟糕,但實際上對Meta根本就是毛毛雨,幾乎不會造成什麼實質性的影響,畢竟在數據泄露這個問題上,扎克伯格不是第一次犯了。
扎克伯格在美國國會聽證會
2018年的劍橋分析醜聞以後,扎克伯格成了國會聽證會的常客,還在2019年付出了50億美元罰款和美國聯邦貿易委員會(FTC)和解。
此後,去年4月,一個黑客網站曝光了5.33億臉書用戶的個人數據,甚至包括扎克伯格自己的電話號碼,泄露數據中,包括用戶的ID、位置、生日、電郵等各種信息。
今年9月Meta再度因允許青少年在Instagram開設商業賬號,並公開顯示其電話號碼和電子郵件地址,違反歐盟的《通用數據保護條例》(GDPR)被罰款4億美元,而在此之前,因為違規操作、人臉識別等種種問題,扎克伯格給歐盟國家繳納的零星罰款數不勝數。
多位分析人士指出,Meta之所以頻發數據泄露,違規甚至違法使用用戶數據的行為,主要源於扎克伯格自身對數據、個人信息安全的輕視,而這份輕視在一定程度上與處罰力度密切相關。
在2019年與美國聯邦貿易委員會達成50億美元和解當天,Facebook的股價上漲了1.8%,而彼時臉書市值超過5000億美元,這份罰款,當天就由投資者埋單了。
中國的做法
50億美元天價罰單雖然創下了美國聯邦貿易委員會的處罰記錄,但對臉書來說價格並不算高,因此一些美國議員也表示罰的太輕。畢竟,罰的太輕,他就不長記性。
對比美國,我國對於觸碰網絡信息、數據安全以及個人信息紅線的處罰力度還是可以給企業敲響警鐘的。
今年7月,國家互聯網信息辦公室依據《網絡安全法》、《數據安全法》、《個人信息保護法》、《行政處罰法》等法律法規,對滴滴全球股份有限公司處人民幣80.26億元罰款,對滴滴全球股份有限公司董事長兼CEO程維、總裁柳青各處人民幣100萬元罰款。2021年滴滴的年營收約為1738億元人民幣,且尚未實現盈利。
觀韜中茂律師事務所合伙人王渝偉告訴虎嗅,根據我國《個人信息保護法》第六十六條規定,違法行為情節嚴重的可以處5000萬元以下或上年營業額的5%以下罰款,並可以停業整改甚至吊銷執照。
「我國在個人信息保護方面的經濟處罰力度相當大,如果觸犯了《網絡安全法》《數據安全法》,情節嚴重的還會被追究刑事責任。」王渝偉認為,國家對網絡安全、數據安全非常重視,這是好事。但目前國內很多數據泄露事件仍然會面臨定責困難、舉證困難的問題。「在這方面,個人用戶也很難直接與大企業進行對等的交流,這時就需要國家從行政層面對企業進行管理,利用法律對企業進行約束。」
當然,企業保護不利是一方面原因,另一方面那些試圖通過買賣個人數據信息牟利的不法分子也需要受到約束。依照我國法律,侵犯公民個人信息罪,不管出售、購買還是竊取個人信息,達到一定標準都會構成侵犯公民個人信息罪,等待他們的可能是最高7年的有期徒刑。
-[出品:虎嗅科技組*作者:齊健*編輯:陳伊凡*頭圖:視覺中國/來源:虎嗅]
