近5亿条用户数据泄露，你的秘密无处遁形

出品|虎嗅科技组
作者|齐健
编辑|陈伊凡
头图|视觉中国
日前， Meta再爆用户数据泄露事件。据外媒Cybernews报道，某境外黑客论坛上的一则帖子正在公然兜售来自84个国家和地区的4.87亿条用户数据，而这些数据均来自Meta旗下通信软件WhatsApp 。

文章图片
4.87亿用户数据在黑客被叫卖
据售卖者称这些数据均为2022年的最新活跃用户数据，其中有3200万条来自美国， 4500万条来自埃及， 1000万条来自俄罗斯，甚至还有67万条中国用户的数据。

文章图片
来自多个不同国家和地区
据Cybernews称，他们从黑客论坛上的WhatsApp数据库卖家处获取了一份数据样本用于验证，这份样本中有1097个英国用户和817个美国用户的号码。 Cybernews调查了样本中的电话号码，证实了他们确实是WhatsApp用户。
就在一个月前，扎克伯格还在自己的Instagram上发文说WhatsApp采用端到端加密，比iMessage更安全，不过他说的是发信息更安全，没说用户数据安全，倒也不算打脸。

文章图片
扎克伯格声称WhatsApp比iMessage更安全
数据库怎么偷？
那么数据库到底是怎么被盗的呢？
虎嗅就此询问了多位国内安全厂商的技术负责人，了解到，大规模的数据泄漏可能因为多种问题。此前领英和WhatsApp的数据泄漏事件中，就曾出现过攻击者利用自动抓取工具，从网站暴露的多个未授权应用程序编程接口（API）获取数据。 2020年初，新浪微博也曾有过5亿用户数据被抓取，拖到暗网上售卖的传闻。
攻击者也可能瞄准网站的程序供应链，攻击安全防护较差的第三方程序。而最直接的方式就是通过数据库注入，对数据库进行查询，直接“拖库” 。
此外，有的服务商数据安全意识较差，或系统陈旧，数据未采用加密、脱敏等手段进行存储，也大大提高了数据泄露到风险。国内论坛CSDN和天涯网在很早以前也曾出现过明文保存密码导致用户敏感信息泄露事件。
对扎克伯格来说不是第一次
4.87亿用户数据泄露听起来非常糟糕，但实际上对Meta根本就是毛毛雨，几乎不会造成什么实质性的影响，毕竟在数据泄露这个问题上，扎克伯格不是第一次犯了。

文章图片
扎克伯格在美国国会听证会
2018年的剑桥分析丑闻以后，扎克伯格成了国会听证会的常客，还在2019年付出了50亿美元罚款和美国联邦贸易委员会（FTC）和解。
此后，去年4月，一个黑客网站曝光了5.33亿脸书用户的个人数据，甚至包括扎克伯格自己的电话号码，泄露数据中，包括用户的ID、位置、生日、电邮等各种信息。
今年9月Meta再度因允许青少年在Instagram开设商业账号，并公开显示其电话号码和电子邮件地址，违反欧盟的《通用数据保护条例》（GDPR）被罚款4亿美元，而在此之前，因为违规操作、人脸识别等种种问题，扎克伯格给欧盟国家缴纳的零星罚款数不胜数。
多位分析人士指出， Meta之所以频发数据泄露，违规甚至违法使用用户数据的行为，主要源于扎克伯格自身对数据、个人信息安全的轻视，而这份轻视在一定程度上与处罚力度密切相关。
在2019年与美国联邦贸易委员会达成50亿美元和解当天， Facebook的股价上涨了1.8% ，而彼时脸书市值超过5000亿美元，这份罚款，当天就由投资者埋单了。