震惊！Facebook被爆数据泄露，大量用户数据被贩卖

2024-10-31

根据外国媒体报道，黑客已经把手伸向Facebook用户电话号码的数据库上，目前正在使用Telegram机器人出售该数据。发现该漏洞的安全研究员阿隆·加尔（Alon Gal）说：“运行该机器人的人声称拥有5.33亿用户的信息，这些信息来自于2019年修复的Facebook漏洞。”

该机器人允许某人做两件事：如果他们拥有某人的Facebook用户ID，则可以找到该人的电话号码；如果他们拥有某人的电话号码，则可以找到其Facebook用户ID。当然，访问要查找的信息需要支付金钱，而解锁一条信息（例如电话号码或Facebook ID）则需要花费另一笔费用，而该机器人实际操纵者则以20美元的价格出售，黑客也本着量大从优的原则，设置了批量定价。

根据加尔（Gal）发布的照片，该机器人至少已于2021年1月12日开始运行，但它提供的访问数据是从2019年开始的。该机器人版本很老，但由于人们不经常更改电话号码。对于Facebook而言，数据库记录ID所对应的电话号码就不能够及时更新，所以黑客可以从历史数据上收集包括使用手机号短信身份验证的用户的电话号码。

目前尚不清楚Facebook的安全研究人员是否已联系Telegram尝试关闭该机器人，但希望可以很快将其锁定。

另据Motherboard报道，有人掌握了包含Facebook用户手机号码的数据库，正在使用Telegram机器人出售这些数据。安全研究人员Alon Gal表示，该机器人的运维人员掌握了5.33亿用户信息，信息来自Facebook的一个漏洞(早在2019年修复)。

对于数据库来说，找到任何有用的数据都需要一定的技术能力，拥有数据库的人和想要从数据库中获取信息的人之间往往要有互动，因为数据库的 "主人 "不会随便把那些有价值的数据交给别人。然而，制作一个Telegram机器人，就解决了这两个问题。

这个机器人可以让别人做两件事：如果他们有一个人的Facebook用户ID，就可以找到这个人的手机号码;如果他们有一个人的手机号码，就可以找到他们的Facebook用户ID。当然，虽然真正获得人们要找的信息是要花钱的--解锁一个信息，比如手机号码或Facebook ID，需要一个信用点，机器人背后的人以20美元的价格出售。根据Motherboard的报告，还有批量定价，1万个信用点的售价为5000美元。

根据Gal发布的截图，这个机器人至少从2021年1月12日开始运行，但它提供的数据是2019年的。尽管数据是以前的，但人们不会那么频繁地更换手机号码。这对Facebook来说尤其尴尬，因为它历史上收集了包括开启双因素认证的用户在内的人的手机号码。