报告：2.67亿个在线显示的Facebook用户ID和电话号码

包含超过2.67亿个Facebook用户ID，电话号码和姓名的数据库在网络上暴露了给所有人，无需密码或任何其他身份验证即可访问.

Comparitech与安全研究员Bob Diachenko合作发现了Elasticsearch集群。迪亚琴科（Diachenko）认为，大量数据很可能是越南罪犯进行非法抓取操作或Facebook滥用API的结果，.

数据库中包含的信息可用于进行大规模SMS垃圾邮件和网络钓鱼活动，以及对最终用户的其他威胁.

迪亚琴科立即通知互联网服务提供商管理服务器的IP地址，以便可以删除访问。但是，迪亚琴科说，数据也被下载到了黑客论坛上。.

曝光时间表

在删除访问权限之前，数据库已暴露了将近两个星期。这是我们所知道的：

• 12月4日–数据库首次建立索引.
• 12月12日–数据在黑客论坛上发布为下载.
• 12月14日– Diachenko发现了数据库，并立即向管理服务器IP地址的ISP发送了滥用报告.
• 12月19日–数据库现在不可用.

通常，当我们发现这样的公开个人数据时，我们会采取措施通知数据库所有者。但是因为我们认为这些数据属于犯罪组织，所以Diachenko直接向ISP寻求帮助。.

暴露了什么数据

总共记录了267,140,​​436条记录。大多数受影响的用户来自美国。迪亚琴科说，所有这些似乎都是有效的。每个包含：

• 唯一的Facebook ID
• 电话号码
• 全名
• 时间戳记

该服务器包括一个带有登录信息中心的登录页面和欢迎信息.

Facebook ID是与特定帐户相关联的唯一公共号码，可用于识别帐户的用户名和其他个人资料信息.

Facebook抓取

犯罪分子如何获取用户ID和电话号码尚不清楚。一种可能是在公司于2023年限制对电话号码的访问之前，数据已从Facebook的开发人员API中窃取。应用程序开发人员使用Facebook的API通过访问用户的个人资料，朋友列表，群组，照片，和事件数据。在2023年之前，第三方开发人员可以使用电话号码.

迪亚琴科说，Facebook的API也可能有一个安全漏洞，即使在访问受到限制后，犯罪分子也可以访问用户ID和电话号码.

另一种可能性是，数据完全在没有使用Facebook API的情况下被盗，而是从公开可见的个人资料页面中被抓取.

“抓取”是一个术语，用于描述自动化机器人快速筛选大量网页，并将每个网页中的数据复制到数据库中的过程。 Facebook和其他社交媒体网站很难阻止抓取，因为它们通常无法分辨合法用户和机器人之间的区别。搜集违反Facebook以及大多数其他社交网络的服务条款.

许多人的Facebook个人资料可见性设置设为公开，这使得抓取他们变得微不足道.

这不是第一次公开这样的数据库。在2023年9月，暴露了多个数据库中的4.19亿条记录。这些还包括电话号码和Facebook ID.

暴露数据的危险

如此大的数据库可能会被用于网络钓鱼和垃圾邮件，尤其是通过SMS。 Facebook用户应警惕可疑短信。即使发件人知道您的姓名或有关您的一些基本信息，也请对任何不请自来的邮件保持怀疑.

通过调整帐户隐私设置，Facebook用户可以最大程度地减少陌生人刮擦其个人资料的机会：

1. 打开Facebook并转到 **设置**
2. 请点击 **隐私**
3. 将所有相关字段设置为 **朋友** 要么 **只有我**
4. 组 **“您是否要让Facebook以外的搜索引擎链接到您的个人资料**？ 至 **没有**

这将减少您的个人资料被第三方抓取的机会，但是确保其不再发生的唯一方法是完全停用或删除您的Facebook帐户.

我们如何以及为什么发现这些数据

Comparitech与Bob Diachenko合作，发现不安全的数据库并将其报告给公众。我们的目标是限制恶意方对个人数据的访问和滥用，并提高受影响人群对潜在风险的认识.

发现公开的数据后，Diachenko会立即通知责任人，以便可以关闭或保护数据库。然后，我们分析泄漏以识别受害者，暴露的持续时间以及受害者可能面临的任何潜在威胁.

以前的报告

Comparitech和Diachenko定期合作发现公开的数据。我们的其他一些报告包括：

• 来自大多数中文域的27亿个公开电子邮件地址，其中100万个包含密码
• 在网上发现1.88亿人的详细个人记录
• K12.com公开700万条学生记录
• 属于MedicareSupplement.com的500万个人记录向公众公开
• 暴露了280万个CenturyLink客户记录
• 700k Choice Hotels客户记录泄露