黑客声称窃取了 12 亿 Facebook 用户记录

这个庞大的数据库被发布在一个专门分享泄露信息的论坛上，该组织声称这不是一堆旧记录，而是全新的数据宝库。如果得到证实，这可能是 Facebook 有史以来规模最大的未经授权的用户数据窃取事件之一。

Cyber​​news 团队分析了从攻击者的初始帖子中获取的 10 万条 Facebook 用户记录样本。虽然这只是所谓的 12 亿条记录数据集的一小部分，但研究人员表示，样本中的信息似乎是有效的。

初步分析显示，这些数据包含用户ID、姓名、邮箱地址、用户名、电话号码、所在地、出生日期、性别等敏感信息字段，一旦被利用，足以造成严重的隐私风险。

然而，专家警告称，在确认整个说法的真实性之前需要谨慎，部分原因是这只是该组织在论坛上发布的第二篇帖子，而之前的帖子包含的数据要少得多。

研究小组表示：“他们可能最初只测试了一小部分数据，然后继续收集或汇总数据，将数量增加到 12 亿条记录。”

如果得到证实，这将是 Facebook 平台有史以来最大的用户数据泄露事件之一，进一步引发了人们对 Meta 如何保护用户个人信息的质疑。

“这些事件表明，Facebook 在安全方面采取的是被动而非主动的态度，尤其是在涉及敏感但可公开访问的数据时。缺乏强有力的保障措施和透明度不仅会削弱信任，还会使数百万用户面临欺诈、身份盗窃和长期隐私风险，”Cyber​​news 报道。

泄露的数据集规模高达12亿条记录，可能成为网络犯罪集团手中极其危险的工具。掌握大量Facebook用户的电子邮件地址、电话号码和经过身份验证的个人信息，攻击者可以轻松自动进行网络钓鱼活动并大规模攻击目标。

这些活动不需要手动操作，而是可以使用自动机器人来部署，自动机器人会根据收集的数据生成数百万条欺骗消息、恶意消息或虚假登录请求，并进行个性化设置。

知道名单上的电子邮件地址实际上与 Facebook 账户绑定，这些骗局就更加令人信服了。黑客可以通过复杂的网络钓鱼活动瞄准个人用户，冒充 Facebook 或相关服务来窃取登录凭证、接管账户或进行金融诈骗。

安全专家表示，API 滥用已成为威胁行为者越来越流行的一种策略。今年上半年，Shopify、GoDaddy、Wix 和 OpenAI 等多个主要平台都遭遇了 API 漏洞攻击。

出于经济动机的攻击组织甚至使用类似的技术来非法访问加密货币钱包，或从保护不足的系统中获取个人数据。

API 是现代数字基础设施不可或缺的一部分，允许不同的服务进行交互并共享数据。然而，这种灵活性如果不加以严格控制，也可能使 API 变得脆弱。攻击者可以利用合法的 API 提取数据，其速度和规模远远超出开发者的初衷。

Facebook 数据被非法收集并不是什么新鲜事。去年，Meta 自己也承认使用了 Facebook 和 Instagram 的公开数据来训练其 AI 助手，此举引发了隐私争议。

2021年早些时候，另一起重大泄露事件涉及超过5亿Facebook用户的电话号码和位置数据，导致该公司被爱尔兰数据保护委员会（DPC）罚款2.65亿欧元。

研究小组警告说：“反复发生的事件表明，Facebook 和许多其他平台仍然维持被动而非主动的安全模式，尤其是在控制公共但敏感的数据方面。”

研究小组表示：“如果没有严格的防御机制和必要的透明度，用户信任就会被削弱，数百万人将成为诈骗、欺诈甚至身份盗窃的潜在目标。”