微信号:ikanxue

介绍:致力于移动与安全研究的开发者社区,看雪学院(kanxue.com)官方微信公众帐号.

Facebook再爆数据丑闻,这次是内鬼

2019-03-12 18:03 小雪

当地时间星期五,Facebook起诉其内部两名乌克兰员工,利用测试应用收集用户的私密数据,并在用户的消息流中插入广告。在2017年至2018年期间,诱使Facebook用户安装自称与星座、性格测试有关的恶意浏览器插件,受影响的用户达到约6.3万人,其中主要是俄罗斯和乌克兰用户。



这些App利用了Facebook的登录功能,承诺只收集有限的信息。但是应用会诱导用户安装浏览器插件,从而使他们能获得用户Facebook(和其他社交网络)账户的访问权限。


Facebook在起诉书中称,除自行发布广告外,被告还收集了用户的公开档案信息和不公开的好友列表。他们还可能与去年出售8.1万名用户私密信息的事件有关,“给Facebook的声誉造成不可挽回的损害”。


Facebook认为,通过安装插件,用户“实际上自己破坏了浏览器的安全性”。这使得这一事件与剑桥分析数据泄露丑闻之间存在重大区别,后者事件中“剑桥分析”公司曾在2016美国大选期间,利用Facebook 上5000万名用户资料进行分析,最终利用“读心”有术,向5000万名 Facebook用户发送“专属”政治广告,左右选民投票。这一次事件里的黑客并没有研究用户心理和偏向,而只是单纯地诱导用户去下载安装恶意插件。


但是,如果Facebook没有授予这两位来自乌克兰的员工为开发者的职位,他们将不可以使用登陆功能,那么攻击将不会得逞。


被告在2016至2018年期间使用虚假名字注册了账户,Facebook“通过恶意插件调查”发现了他们的行为,在2018年10月12日前后关闭了所有相关账户,然后与浏览器开发商接洽,确保恶意插件被清除。


Facebook起诉两名被告在未经授权的情况下访问其数据触犯了《计算机欺诈和滥用法案》,把自己“伪装”成开发者违犯了合同,涉嫌欺诈。Facebook调查这一事件的支出超过7.5万美元,这一事件“妨碍和破坏了Facebook与其用户的关系”。


尽管Facebook现在起诉了员工滥用用户数据,但Facebook自己本身使用用户数据的行为也频频被媒体曝光,甚至受到了GDPR的处罚。


而现在,又有美国参议员提出科技公司在出售用户数据的时候应该纳税。近日在美国德州举办的西南偏南(SXSW)大会上,明尼苏达州参议员和总统候选人埃米·克洛布彻(Amy Klobuchar)在接受采访时表示:像Facebook这样的平台使用我们的数据,而我们就是它们的商品,但是我们并没有从中获取任何东西。当它们将我们的数据出售给其他人的时候,应该告诉政府可以对其征税。


很显然,Facebook在用户隐私这件事上还有很长的路要走......



最后,作为科技公司,应该如何防止内鬼呢?


1、制定明确的简明安全策略及方案、程序管理要求、访问机制、明确用户责任和安全事件应急响应程序。


2、营造浓厚的网络安全文化,各个相关部门尽可能沟通并强调安全的重要性。


3、周期性的对所有员工进行安全意识培训,提高企业整体网络安全、数据安全保护意识,增强个人安全保护基本技能。


4、将网络安全理念贯穿到业务流程中。构建应用程序时,人们才会考虑网络安全问题,但往往忽略了员工和承包商如何履行自身的安全职责。将网络安全融入到接触宝贵资产的各方日常业务流程,从而减少非恶意的风险行为。


5、积极管理访问权限,尤其特权访问。用户的访问权限就是内部人员(和恶意攻击者)企图破坏的入口。最小化访问权限,且仅提供给必需的账户。但实现访问控制管理不能一蹴而就,需要根据组织变动和人事变动定期审查及时更新。


6、识别核心数据和关键业务系统。当谈及最具重要的资产时,管理攻击面(一般包括用户访问和漏洞)更为重要。然而在特殊时候,需要重点保护这些极其重要的公司资产之前,组织机构需要了解具体的资产及其所在位置。


7、执行主动与被动控制,阻止敏感数据从组织内部流失,并监控用户行为是否异常。异常检测是识别用户执行异常活动(不一定会引发任何政策预警)的唯一途径。要优先应对最关键的威胁,并在最大程度上减少误报,将行为分析与其它风险因素关联,包括推动威胁成功的相关漏洞、攻击对组织机构带来金融或任务影响,以及资产价值。此外,从程序所有者(管理被攻击资产)处取得资格,协助判断异常活动是否属于正当业务行为。

 

参考来源:

  • 新浪科技

  • 凤凰网科技

  • E安全

 


- End -


(晋级赛Q1正在火热进行中~!)



热门文章阅读


1、安卓机也能运行Windows系统了!你想用吗?

2、进阶安全圈,不得不读地一本书——《加密与解密》第4版

3、看雪会员专享(含餐)| 第九期网络安全创新发展高端论坛——人工智能安全

4、简单高效开发你的shellcode不是梦!





公众号ID:ikanxue

官方微博:看雪安全

商务合作:wsc@kanxue.com



点击阅读原文,了解更多~

 
看雪学院 更多文章 赛况直播 | 2019 KCTF 开战,这里只用实力说话 使用IDA pro逆向ARM M系核心的Bin固件 今天中午12点,相约看雪CTF 晋级赛Q1,battle起来! 看雪会员专享(含餐)| 第九期网络安全创新发展高端论坛——人工智能安全 ScyllaHide的Hook原理
猜您喜欢 闲话女程序员 【机器学习】 机器学习算法中的过拟合与欠拟合 为什么 Elon Musk 说「火人节就是硅谷」,这篇长文告诉你答案 Kubernetes服务发现与故障排除 理解总线协议之i2c总线