Facebook har inte haft den största meritlistan när det gäller användarsäkerhet nyligen, och även om nyheterna har tystnat nyligen av överträdelser ser det ut som om trenden har skjutit upp igen.
Techcrunch har rapporten den här veckan, med en beskrivning av hur en server inte var skyddad på det sätt som den borde ha varit, och som ett resultat läckte telefonnummer kopplade till Facebook-konton online. Enligt rapporten var servern inte skyddad av ett lösenord, vilket gjorde den tillgänglig för alla.
Som ett resultat fanns det tillgång till hundratals miljoner telefonnummer från Facebook-användare, upp till 419 miljoner. Enbart i USA fanns det 133 miljoner skivor. 50 miljoner poster upptäcktes från Vietnam Facebook-användare, 18 miljoner poster kom från användare i Storbritannien.
Telefonnumret var inte de enda känsliga uppgifterna på servern, eftersom varje konto också inkluderade det unika Facebook-ID också.
Den exponerade servern innehöll över 419 miljoner poster över flera databaser om användare över geografier, inklusive 133 miljoner poster på amerikanska Facebook-användare, 18 miljoner poster i Storbritannien, och en annan med mer än 50 miljoner poster på användare i Vietnam.
Men eftersom servern inte var skyddad med ett lösenord, kunde någon hitta och komma åt databasen.
Varje post innehöll en användares unika Facebook-ID och telefonnumret på kontot. En användares Facebook-ID är vanligtvis ett långt, unikt och offentligt nummer som är kopplat till deras konto, vilket lätt kan användas för att urskilja ett kontos användarnamn.
Det är dock värt att notera att det har gått över ett år sedan Facebook begränsade åtkomsten till telefonnummer. Som ett resultat daterade den här servern utöver det, och Facebook uppger till och med att datasatsen som finns på servern var gammal:
Det här datasättet är gammalt och verkar ha information som erhållits innan vi gjorde förändringar förra året för att ta bort människors förmåga att hitta andra med sina telefonnummer, ”sade talesmannen. ”Datasatsen har tagits bort och vi har inte sett några bevis för att Facebook-konton komprometterades.
Att lagra data på detta sätt är tyvärr inte okänt. Den här specifika frågan kan göra att personer med exponerade telefonnummer riskerar att få ännu fler skräppost än de kanske redan mottar. Dessutom är SIM-byte av attacker, som kan göra det möjligt för någon att lura en transportör att ge en ondskad individ någon annans telefonnummer, också möjlig.
Detta är inte nödvändigtvis ett stort intrång, men det visar hur viktigt det är att låsa ner dessa servrar där potentiellt känslig information kan lagras. Att lämna det öppet på detta sätt utan lösenord finns är mycket riskabelt.