黑客声称窃取了 12 亿 Facebook 用户记录
一群黑客声称利用 Meta 运营的社交网络平台应用程序编程接口 (API) 中的漏洞,从 Facebook 窃取了包含 12 亿条用户记录的庞大数据库。
这个庞大的数据库被发布在一个专门分享泄露信息的论坛上,该论坛声称这不是一堆旧记录,而是全新的数据宝库。如果得到证实,这可能是 Facebook 有史以来规模最大的未经授权的用户数据窃取事件之一。
Cybernews 团队分析了从攻击者的初始帖子中提取的 10 万条 Facebook 用户记录样本。虽然这只是所谓的 12 亿条记录数据集的一小部分,但研究人员表示,样本中的信息似乎是有效的。

初步分析显示,这些数据包含用户ID、姓名、邮箱地址、用户名、电话号码、所在地、出生日期、性别等敏感信息字段,一旦被利用,足以造成严重的隐私风险。
然而,专家警告称,在确认整个说法的真实性之前需要谨慎,部分原因是这只是该组织在论坛上发布的第二篇帖子,而之前的帖子包含的数据要少得多。
研究小组表示:“他们可能最初只测试了一小部分数据,然后继续收集或汇总数据,将数量增加到 12 亿条记录。”
如果得到证实,这将是 Facebook 平台有史以来最大的用户数据泄露事件之一,进一步引发了人们对 Meta 如何保护用户个人信息的质疑。
“这些事件表明,Facebook 在安全方面采取的是被动而非主动的态度,尤其是在涉及敏感但可公开访问的数据时。缺乏强有力的保护措施和透明度不仅损害了信任,还使数百万用户面临欺诈、身份盗窃和长期隐私风险,”Cybernews 报道。
泄露的数据集规模高达12亿条记录,对于网络犯罪分子来说,可能成为极其危险的工具。掌握大量Facebook用户的电子邮件地址、电话号码和经过身份验证的个人信息,攻击者可以轻松地自动执行网络钓鱼活动,并大规模锁定目标。
这些活动不需要手动操作,而是可以使用自动机器人来部署,自动机器人会生成数百万条欺骗消息、恶意消息或虚假登录请求,并根据收集的数据进行个性化设置。
知道名单上的电子邮件地址实际上与 Facebook 账户绑定,这些骗局就更加令人信服了。黑客可以通过复杂的网络钓鱼活动瞄准个人用户,冒充 Facebook 或相关服务来窃取登录凭证、接管账户或进行金融诈骗。
安全专家表示,API 滥用正日益成为威胁行为者常用的策略。今年上半年,Shopify、GoDaddy、Wix 和 OpenAI 等多个主流平台都遭遇了 API 漏洞攻击。
出于经济动机的攻击者甚至使用类似的技术来非法访问加密货币钱包,或从保护不足的系统中获取个人数据。
API 是现代数字基础设施的重要组成部分,允许不同的服务进行交互和数据共享。然而,这种灵活性如果不加以严格控制,就会使 API 变得脆弱。攻击者可以利用合法的 API 窃取数据,其速度和规模远远超出开发者的初衷。
Facebook 数据被非法收集并非新鲜事。去年,Meta 就承认曾使用 Facebook 和 Instagram 的公开数据来训练其 AI 助手,此举引发了隐私争议。
2021 年早些时候,另一起重大泄露事件涉及超过 5 亿 Facebook 用户的电话号码和位置数据,导致该公司被爱尔兰数据保护委员会 (DPC) 罚款 2.65 亿欧元。
研究小组警告称:“反复发生的事件表明,Facebook 和许多其他平台仍然维持着被动而非主动的安全模式,尤其是在控制公共但敏感的数据方面。”
研究小组表示:“如果没有严格的防御机制和必要的透明度,用户信任就会被削弱,数百万人会成为欺诈、诈骗甚至身份盗窃的潜在目标。”