Facebook 洩漏上亿笔电话,使用者曝露在 SIM 卡交换攻击风险

  • 307views
Facebook 洩漏上亿笔电话,使用者曝露在 SIM 卡交换攻击风险

Facebook 联结全球的网路使用者,如果出问题牵连範围也相当大。如今 Facebook 被爆洩漏高达 4 亿多笔的电话号码,轻易在网路上任人浏览。

这次 Facebook 伺服器资料在网路上任意让人看,出包洩漏的规模包括与帐号户连结的 4.19 亿笔电话号码,横跨世界各地,Facebook 所在的美国就有 1.33 亿笔,同样说英文的英国则有 1,800 万笔,而越南用户则有 5,000 万笔资料外洩。而由于资料库含有用户 Facebook ID 与对应的电话号码,因此能够轻易连结到用户真实的资料。

TechCrunch 进一步检验洩漏的资料,有些地方的记录还列出使用者的姓名、性别、国籍等,而藉由 Facebook 的密码重设功能,能揭露部分电话号话,证实外洩资料的确是真的。

GDI Foundation 的资安研究者 Sanyam Jain 发现这次电话外洩事件,并且联繫 TechCrunch 进一步调查到底资料从那里来。Facebook 发言人指这次在网路上发现的 Facebook 使用者电话资料库,是在 Facebook 2018 年 4 月关掉资料连结之前大量捞取,不是近期的资料外洩事件流出的资料,而目前资料库已经下架了。

Facebook 这次的电话大量洩露,不只造成大量使用者面临被推销电话淹没的困扰,还造成使用者曝露在 SIM 卡交换攻击的风险,替换取得代表使用者电话号码的 SIM 卡,更进一步靠电话号码重设网路帐号密码,取得服务的存取权。目前仍不知道是谁大量捞取这些电话资料,背后目的到底是什幺。

先前最知名的 SIM 卡交换攻击手法是 Twitter CEO Jack Dorsey,造成他的 Twitter 帐号遭到别人控制,并且开始胡言乱语。Twitter 为了避免类似事情发生,关掉透过 SMS 简讯传送推文的功能。