網(wǎng)絡(luò)安全公司UpGuard研究人員發(fā)現(xiàn)大量的用戶信息不經(jīng)意間被公開發(fā)布到亞馬遜公司的云計(jì)算服務(wù)器上。這一發(fā)現(xiàn)表明，在各個(gè)環(huán)節(jié)掌握著用戶信息的公司在保護(hù)用戶隱私數(shù)據(jù)方面仍然有所欠缺。

巨量數(shù)據(jù)遭泄露

墨西哥城的數(shù)字平臺(tái)Cultura Colevita公開存儲(chǔ)了5.4億條Facebook用戶記錄，包括身份證號(hào)碼、評(píng)論、回復(fù)和賬戶名。任何能發(fā)現(xiàn)這些數(shù)據(jù)的人都可以訪問和下載這些記錄。該數(shù)據(jù)庫周三關(guān)閉，此前有外媒提醒Facebook注意該問題，然后Facebook聯(lián)系了亞馬遜。該事件被報(bào)道后，Facebook股價(jià)應(yīng)聲下跌。

Cultura Colevita是一個(gè)發(fā)布名人和文化故事的數(shù)字平臺(tái)，主要面向拉美裔受眾。該公司的網(wǎng)站宣稱，它通過數(shù)據(jù)和技術(shù)產(chǎn)生內(nèi)容，在Facebook、Instagram、Twitter、YouTube和Pinterest上擁有4500多萬粉絲。

另一個(gè)長(zhǎng)期停用的名為At the Pool的APP也在其數(shù)據(jù)庫中公開存放了22000人的姓名、密碼和電子郵件地址。UpGuard不清楚這些數(shù)據(jù)暴露了多久，因?yàn)樵摴菊{(diào)查該數(shù)據(jù)庫時(shí)，數(shù)據(jù)庫突然不可訪問。

Facebook用戶數(shù)據(jù)易被泄露的原因

Facebook多年來一直樂意與第三方開發(fā)者分享這類信息，直到最近才予以取締。意外公開存儲(chǔ)數(shù)據(jù)的問題可能比這兩個(gè)例子波及范圍更廣。UpGuard發(fā)現(xiàn)了10萬個(gè)亞馬遜托管的包含各種類型數(shù)據(jù)的開放數(shù)據(jù)庫，其中一些數(shù)據(jù)并不適合公開。

UpGuard網(wǎng)絡(luò)風(fēng)險(xiǎn)研究主管Chris Vickery說：“公眾還沒有意識(shí)到這些高層次系統(tǒng)的管理人員和開發(fā)人員，即這些數(shù)據(jù)的保管者，是膽子太大，還是太懶，或者就是偷工減料。他們對(duì)大數(shù)據(jù)的安全問題關(guān)注不夠。”

多年來，Facebook允許任何在其網(wǎng)站上制作應(yīng)用的人獲取這些應(yīng)用使用者及其朋友的信息。一旦數(shù)據(jù)脫離Facebook的控制，開發(fā)人員就可以使用數(shù)據(jù)為所欲為。

劍橋分析事件后Facebook采取措施應(yīng)對(duì)

大約一年前，Facebook首席執(zhí)行官扎克伯格正準(zhǔn)備就一個(gè)特別嚴(yán)重的數(shù)據(jù)泄露事件接受國(guó)會(huì)質(zhì)詢——一名開發(fā)人員將數(shù)千萬用戶的數(shù)據(jù)交給了劍橋分析公司，這家政治咨詢公司協(xié)助了特朗普競(jìng)選美國(guó)總統(tǒng)。該事件導(dǎo)致了Facebook被世界各地的政府調(diào)查，面臨著更嚴(yán)厲的政府監(jiān)管的風(fēng)險(xiǎn)。

去年，Facebook開始對(duì)數(shù)千個(gè)應(yīng)用進(jìn)行審計(jì)，并暫停了數(shù)百個(gè)應(yīng)用，直到它們能確保不會(huì)濫用用戶數(shù)據(jù)。Facebook現(xiàn)在為發(fā)現(xiàn)其第三方應(yīng)用問題的研究人員提供獎(jiǎng)勵(lì)。

一位Facebook發(fā)言人說，該公司政策禁止在公共數(shù)據(jù)庫中存儲(chǔ)Facebook的信息。這位發(fā)言人說，Facebook獲悉這個(gè)問題后，就立馬與亞馬遜聯(lián)系關(guān)閉數(shù)據(jù)庫，Facebook致力于在其平臺(tái)上與開發(fā)人員合作來保護(hù)用戶的數(shù)據(jù)。

在總計(jì)146 GB的Cultura Colevita數(shù)據(jù)集中，研究人員很難發(fā)現(xiàn)到底有多少Facebook用戶受到影響。UpGuard在關(guān)閉數(shù)據(jù)庫時(shí)也遇到了麻煩。該公司在數(shù)月內(nèi)給Cultura
Colevita和亞馬遜分別發(fā)送了電子郵件，提醒他們注意這個(gè)問題。直到Facebook聯(lián)系亞馬遜，這個(gè)問題才得以解決。

云服務(wù)放大數(shù)據(jù)安全問題

這個(gè)事件顯示了數(shù)據(jù)安全問題是如何被另一種趨勢(shì)放大的：許多公司已經(jīng)從主要使用自己的數(shù)據(jù)中心運(yùn)行業(yè)務(wù)轉(zhuǎn)變?yōu)槭褂脕嗰R遜、微軟、谷歌等公司運(yùn)營(yíng)的云計(jì)算服務(wù)。

通過幫助企業(yè)輕松地在遠(yuǎn)程服務(wù)器上運(yùn)行應(yīng)用程序以及存儲(chǔ)大量數(shù)據(jù)——從企業(yè)文檔到員工信息，這些科技巨頭已經(jīng)獲取了數(shù)十億美元的收入。

像亞馬遜云服務(wù)的簡(jiǎn)單存儲(chǔ)服務(wù)這樣的程序，本質(zhì)上是一種互聯(lián)網(wǎng)訪問的硬盤，其客戶可以選擇讓上傳數(shù)據(jù)的人、公司其他成員或者是網(wǎng)上的任何人看到數(shù)據(jù)。有時(shí)，這些信息被設(shè)計(jì)成公開可見的，比如公司網(wǎng)站上存儲(chǔ)的照片或其他圖像的緩存文件。

其他時(shí)候，并非如此。近年來，存儲(chǔ)在多個(gè)云服務(wù)上的信息——美國(guó)軍事數(shù)據(jù)、報(bào)紙訂閱者和手機(jī)用戶——被人無意放在網(wǎng)上公開共享，并被安全研究人員發(fā)現(xiàn)。

亞馬遜在過去兩年里通過增加顯著的警告通知、制作工具讓管理員可以更簡(jiǎn)便地關(guān)閉公開數(shù)據(jù)以及免費(fèi)提供用來檢查客戶的賬戶是否有數(shù)據(jù)暴露的工具等手段加強(qiáng)了信息交換協(xié)議，以保護(hù)用戶敏感信息免遭泄露。

為亞馬遜云服務(wù)的企業(yè)用戶提供咨詢服務(wù)的Duckbill
Group員工Corey Quinn表示：“最初我會(huì)在亞馬遜云服務(wù)上放很多數(shù)據(jù)。”但他說，既然亞馬遜已經(jīng)采取相關(guān)措施解決這個(gè)問題，像Cultura這樣的公司應(yīng)該意識(shí)到這一點(diǎn)。“新聞中出現(xiàn)的這些問題，還有將繼續(xù)出現(xiàn)的問題，如果企業(yè)還在向公眾開放亞馬遜云服務(wù)上的數(shù)據(jù)，說明沒有關(guān)注這方面。”

? ? ? ?亞馬遜并不是唯一一家被定期曝光隱私記錄泄露的公司。但該公司在數(shù)據(jù)存儲(chǔ)和計(jì)算能力領(lǐng)域占據(jù)領(lǐng)先地位，這使得亞馬遜經(jīng)常成為人們關(guān)注的焦點(diǎn)。