5.4亿 Facebook 用户记录遭亚马逊 S3 存储桶暴露

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士团队

UpGuard Cyber Risk 团队指出，超过5.4亿条 Facebook 用户记录遭公开可访问的亚马逊 S3 存储桶暴露。这些S3 存储桶属于两家第三方 app，目的是存储用户数据如明文 app 密码、账户名称、用户 ID、兴趣爱好、感情状况等。

研究人员指出，墨西哥媒体公司 Cultura Colectiva 将存储在名为“cc-datalake”的146 GB 数据库中约5.4亿名用户的记录存储在一个错误配置的亚马逊 S3 存储桶中，任何人均可下载。

这个庞大的 Facebook 记录包括“评论、点赞、回应、账户名称、FB ID 等”，可允许 Cultura Colectiva “应用到算法中，从而预测哪种内容会在未来带来最多的流量。”

另外一个涉事数据库现已不可用，它所在的 app是“At the Pool”，虽然只发现2.2万条记录，但遗憾的是其中也包括明文形式的用户密码。虽然这些密码应该是该 app 的用户密码，但将会给在其它账户复用同样密码的用户带来风险。另外，该 app 被暴露的数据库的用户数据点包括 fk_user_id、fb_user、fb_friends、fb_likes、fb_music、fb_movies、fb_books、fb_photos、fb_events、fb_groups、fb+checkins、fb_interests 等。

虽然“At the Pool”数据库暴露的数据相对较少，但它属于五年前就停止运营的一家公司，这不禁让人思考还存在多少类似的 AWS 实例等待下载并被用于凭证填充或类似的恶意攻击活动中。

这两款 app 存在的类似之处还有它们都说明了用户的“可供第三方开发商使用的兴趣爱好、感情状况和互动。”

目前 Facebook 正在解释称用户隐私是他们的主要目标之一，第三方应用收集的用户数据被存储在可能未得到正确保护的数据库云等等。

研究人员表示曾于1月10日和14日联系 Cultura Colectiva 说明相关情况，但并未得到任何回复。然而，在1月28日联系亚马逊 Web Services 后，后者表示在2月1日发现泄漏事件。随后彭博社要求对此事进行置评，cc-datalake 数据库最终在4月3日加强了安全措施。At the Pool 数据库已删除，目前已不可访问。

虽然 Facebook 并非这两起数据库泄露背后的推手，但 Facebook 无疑经历了艰难的一年。该公司曾在2018年9月披露了一个影响约5000万名用户的安全漏洞，该漏洞可导致恶意人员访问所有受影响用户的敏感信息。

2018年12月，Facebook Photo API中被曝漏洞，可导致攻击者在未授权情况下获取对约680 万名Facebook 用户的受保护照片。另外在去年11月，一名名为“FBSaler”的地下论坛卖家拍卖1.2亿Facebook 的信息、另外8.1万名用户的私人信息，且每份售价10美分。

原文链接

https://www.bleepingcomputer.com/news/security/540-mllion-facebook-records-leaked-by-public-amazon-s3-buckets/

本文由代码卫士编译，不代表其观点，转载请注明“转自代码卫士 www.codesafe.cn”。