今年频陷“漏洞”门的Facebook,随着爱尔兰对其调查,或将成为首个欧盟最严数据法案的判例。
▲Facebook CEO、创始人马克·扎克伯格
作者 | 梁辰
编辑 | 陈诗怡
马克·扎克伯格5月在欧洲议会接受质询之后,仍将面临被处罚的可能。
所有在欧洲有产品或服务的科技互联网企业都有可能受到欧洲最严数据保护法案——欧盟一般数据保护法案(General Data Protection Regulation, 679/2016, 下简称「GDPR」)的影响,那些漠视用户隐私数据保护的注定会成为第一批受罚者。
针对近期Facebook的“漏洞门”,10月17日晚间,爱尔兰数据保护委员会工作人员向新京报独角鲸科技(ID:dujiaojingkeji)回复确认,Facebook9月遭遇的安全入侵事件中,3000万受到影响的用户有10%来自于欧盟,且委员会正在对此事进行法定调查。
此次安全事件预计将成为欧盟GDRP于今年5月25日生效以来的首个重大测试,而受影响的欧洲用户数量将有助于确定对该公司惩罚的力度。
据GDRP规定,涉及到欧洲个人数据的公司必须遵守确保信息安全的规定,并在安全入侵事件发生72小时内向监管机构汇报,而公司面临的最高罚款可达该公司每年全球营收的4%。因此,GDRP也被称为最严格的数据安全保护法规。
就Facebook而言,其2017年全球营收为406.53亿美元,因此针对其的罚款最高可达1.63亿美元。上述爱尔兰数据保护委员会工作人员告诉新京报独角鲸科技(ID:dujiaojingkeji),Facebook将继续履行其在GDRP下的义务,不过更多细节暂时无法透露。
▾
3000万用户信息被盗
9月28日,Facebook首次披露了一项三天前由工程师团队发现的安全漏洞称,有近5000万用户的登陆访问权限被盗。Facebook产品管理副总裁Guy Rosen表示,已经修复了漏洞,并通知了执法部门。同时,Facebook重置了受影响用户的访问令牌,以保护他们的安全。
为了安全起见,Facebook甚至重置了2017年受到“访客视图”影响的另外4000万个账户的访问令牌。也就是说,约有9000万人需要重新登陆或者使用任何Facebook账号登陆的应用程序。并且重新登陆后,用户会在信息流顶部收到通知。
为了彻底的安全检查,Facebook暂时关闭了“访客视图”的功能。用户使用该功能可以了解他人在自己的个人主页能查看哪些内容。Facebook工程、安全和隐私副总裁Pedro Canahuati在博客中解释了漏洞的原因,是由三个错误相互作用而成。
经过两周不断地调查和修补,10月12日,Facebook披露,因9月14日一次异常而开始调查;25日确定了这是一次攻击,并确定了漏洞;随后两天内通过重置可能暴露的用户的访问令牌来关闭漏洞。
Facebook称,了解到受到影响的用户数低于原先想象的,并将这一数字缩小到了3000万,官方博客解释称,黑客利用控制的40万个账户获得了这些用户的访问权限,因为用户使用访问令牌登陆,可以无需输入密码。
据悉,已有2900万受到影响用户的姓名和联系人方式被曝光,而其中1400万用户的其他个人信息,如性别、关系状态、家乡、生日以及最近10次签到的位置和最近15次搜索等信息也被黑客盗取。其他100万人,黑客则没有访问任何信息。
Facebook公布了一个网站,用户可以通过网站查看账户是否受到影响,以及暴露程度,并且向受到影响的3000万人陆续发送特定的消息,解释攻击者可能访问了哪些信息,以及他们可以采取哪些保护自己的方式。
Guy Rosen表示,不排除小规模攻击的可能性。该公司正在与FBI合作,后者正在积极调查,并要求Facebook不要讨论这次攻击可能的来源。不仅如此,Facebook还通知了美国联邦贸易委员会、爱尔兰数据保护委员会和其他机构寻求合作。
Facebook财报披露,2018年第二季度,该公司日活用户数为14.71亿,与上个季度相比,仅微增1.5%。其公布了一项新指标称,25亿用户至少使用了Facebook的一项应用,包括Facebook、WhatsApp、Instagram以及Messenger。
▾
2018年Facebook数据安全频响警报
2018年3月,Facebook就曾因为最大规模信息泄漏事件而导致公司股价暴跌,被政府相关部门问责,而社交网络上亦发起了“删除Facebook”的话题。这是Facebook成立以来最严重的信任危机,导火索就是Facebook在已知用户隐私被泄露和利用的情况下没有采取行动。
事实上,Facebook卷入了一场政治事件。外媒揭露,一家名为“Cambridge Analytica(剑桥分析)”的数据分析公司,滥用了Facebook的5000万用户数据服务于特朗普竞选团队,部分协助其赢得2016年总统大选。
据悉,这些数据最初由剑桥大学教授Aleksandr Kogan通过一款心理测试应用收集。通过这款应用,剑桥分析不仅可以获得参与测试的用户信息,还可以获得他们好友的资料。涉及用户范围之大,是因为能够参与这项测试的用户必须拥有约185名好友。
针对此事,Facebook随机宣布已经聘请了外部专业公司,对数据泄露事件展开调查,禁止了剑桥分析以及母公司使用Facebook的任何数据,并对外公布其早在2015年就已经要求剑桥分析删除上述数据,而该公司对Facebook隐瞒实情。
进入4月,Facebook CEO、创始人马克·扎克伯格(Mark Zuckberg)连续两天长达十个小时,接受参众两院车轮战式的审问。扎克伯格回答了每一个问题,并向每一位提问议员,不厌其烦地重复他的歉意和承诺,以缓解这场创业以来最大的风险。
5月,扎克伯格再到布鲁塞尔参加欧洲议会召开的听证会。这场长达90分钟问答迫于压力变成了网络直播。前半个小时,由扎克伯格宣读声明,接下来由议员提问和问答环节。问题大部分指向与Facebook有关的政策和全球运营。
扎克伯格现场承诺,除了遵循GDPR规定,Facebook还将向用户提供新的工具控制自己的个人数据,包括清除特定帐户的浏览历史。不过,扎克伯格也重申其在美国听证会上的观点,有一些监管是相当重要的,但也要确保监管框架能够保护民众,让他们拥有创新的空间。
对于安全工作,Facebook一直在努力。2018年第一季度,该公司撤下5.8亿个假帐户,绝大部分注册几分钟就被撤下。该公司还开发了AI系统,识别特定用户。上述丑闻发生后,Facebook暂时封停200多个应用,并对上万个应用进行调查。
为了加强安全,Facebook承诺在年底前,增加安全员工的招聘,将达到2万人。在保护用户数据时,扎克伯格承认Facebook做得还不够。
10月11日,Facebook宣布删除了559个页面和251个帐户,因为这些页面和账户违反了公司针对垃圾邮件和“协调不真实行为”的规定。该公司网络安全政策负责人Nathaniel Gleicher和产品经理Oscar Rodriguez联合署名的一篇博客称,这些账户会点击连接上的点赞按钮,人为地提升参与度。
不仅如此,安全隐私问题拖得越久,Facebook的核心业务越可能会受到影响。巴克莱银行分析师Ross Sandler在一份报告中称,第一次听说广告商开始抱怨Facebook陷入麻烦,并犹豫是否要将广告预算投给Facebook。
与此同时,Facebook虽然推出了公众期待已久的智能音箱Portal,但由于用户隐私的担忧,使得该产品同样陷入信任问题。因为语音识别等功能,同样需要用户的个人数据做基础。
目前来看,Facebook承诺的解决方案也让投资者感到不安。扎克伯格曾表示,由于安全投资持续增加,可能会给利润造成明显影响,“与追求利润相比,确保用户安全更加重要”。但优先级的变化,导致Facebook的市值在股市上遭遇了前所未有的大幅缩水。