臉書：資料外洩為網頁抓取，非被駭

在被安全人員揭露外洩5.3億筆用戶個資將近一個星期後，臉書昨（7）日終於正式出面，表示這是一件網頁抓取（web scraping），而非平臺被駭造成的事件。但安全專家則認為臉書的說法是推卸責任。

Hudson Rock技術長Alon Gal上周發現涵括106國、5.33億筆臉書用戶個資，遭不明人士免費公開在駭客論壇上。外洩資訊包括用戶電話、臉書ID、全名、生日、住址及個人簡歷，少部份帳戶還有電子郵件信箱、帳號建立時間及感情狀態等。這些資料中，絕大多數來自美國、英國及印度，但也包括臺灣用戶個資超過73萬筆。外洩名單甚至包括臉書三位創辦人Mark Zuckerberg、Chris Hughes和 Dustin Moskovitz的電話號碼。

臉書上周僅發言人以推文解釋，此事已在2019年有媒體報導過，該公司也已在同年8月發現並解決問題。

本周三臉書產品管理總監Mike Clark終於出面說明此事，重申此事是在2019年9月以前，惡意人士藉由網頁抓取手法從臉書網頁上取得資訊，而不是臉書系統被駭的結果。網頁抓取是利用自動化軟體從網頁上，取得公開資訊的一種手法。

臉書相信，在2019年9月以前，惡意人士濫用臉書聯絡人匯入（contact importer）功能。這項功能讓使用者將其手機通訊錄上傳臉書，方便一次送出大量邀請，旨在「協助使用者更容易找到並邀請他們的朋友」。惡意人士以軟體模仿臉書App，誘使用戶上傳大量電話號碼再比對出符合的臉書用戶，藉此取得這些用戶公開資料頁上的「有限個人資訊」。臉書聲稱，利用幫助用戶的功能來抓取資料，違反了臉書平臺政策。

Clark指出，這是詐欺者蓄意破壞禁止抓取網路服務的平臺政策最新例子，該公司2019年發現這項功能被濫用後已經做了調整。臉書並強調這些資訊不包含財務、健康資訊或密碼。

周末臉書提供給歐盟資料保護委員會的訊息中，臉書說資料外洩時間點在2017年6月到2018年4月之間。由於是在2019年5月25日GDPR上路之前，因此臉書沒有公開此事，也未通報受影響的用戶。歐盟主管機關將調查是否包含GDPR上路後外洩的資料。

主持Have I Been Pwned外洩查詢服務的安全專家Troy Hunt及其他人，都對臉書回答表達不滿，根本是將推出這類侵害用戶隱私的功能的責任推得一乾二淨。

首先發現這批5.33億資料的安全專家Gal則表示，這是臉書對用戶個資的絕對輕忽（absolute negligence）。