Facebook20億用戶數(shù)據(jù)可能泄露 扎克伯格如何應對

扎克伯格明確表示，他不打算辭去首席執(zhí)行官職務。到目前為止，他也還沒有開除過任何一個人，并認為最終責任在他自己?！安徽撊绾?，這是我的責任，我開創(chuàng)了Facebook，我運營它，我負責?！薄拔也粫褎e人抓來背黑鍋?！?/p>

Facebook昨天扔下一顆重磅炸彈：CTO Mike Schroepfer表示，經(jīng)公司調(diào)查，Cambridge Analytica數(shù)據(jù)濫用影響不是最先估計的5000萬人，至少有8700萬用戶信息被不當收集。此外，F(xiàn)acebook 20億用戶中的大多數(shù)，都可能因為其搜索功能的一個默認設置，而被惡意使用者獲取了個人數(shù)據(jù)。

一波未平一波又起：Facebook CTO Mike Schroepfer在4月4日扔下一顆重磅炸彈，揭露的驚人消息，幾乎肯定會讓已經(jīng)深陷泥沼的Facebook更加不能自拔，同時，也讓信息時代個人隱私危機蒙上更厚重的陰影。

Mike Schroepfer在一篇博客文章中稱，F(xiàn)acebook的20億用戶中的大多數(shù)，可能都已經(jīng)被“惡意行為者”（malicious actors）非法獲取了個人數(shù)據(jù)，具體的方法是通過Facebook的一個搜索功能。

這個功能允許任何人通過僅搜索某個用戶的電話號碼或電子郵件地址，查找用戶的公開Facebook個人資料信息，包括性別和出生日期等信息。惡意行為者通過這種反向搜索，找到用戶的個人資料頁面，從而非法獲取數(shù)據(jù)。

Facebook表示，公司已經(jīng)在其網(wǎng)站的搜索功能中禁用了這項子功能，但已經(jīng)有如此多的用戶數(shù)據(jù)可能遭到侵害，無疑讓這一全球最大社交網(wǎng)絡努力恢復用戶信心再次遭遇挫折。

“在過去的幾年中，如果你有這樣的設置，那么很可能有人訪問了你的信息，”Facebook首席執(zhí)行官馬克扎克伯格在周三與記者的電話會議上說。

不僅如此，在Cambridge Analytica事件中，最初估計有5000萬用戶受影響，但經(jīng)Facebook調(diào)查，這個數(shù)字比以前的估計值要大得多——高達8,700萬用戶。

Cambridge Analytica事件在這里就不多贅述了。數(shù)據(jù)分析公司Cambridge Analytica通過一位大學研究人員編寫的應用程序，收集大量Facebook用戶的數(shù)據(jù)。雖然實際上只有27萬用戶安裝了這款應用程序，但由于當時Facebook的數(shù)據(jù)共享政策，這款應用程序收集到了更多的用戶數(shù)據(jù)。

最初的估計是，該應用程序收集了大約5000萬Facebook用戶的數(shù)據(jù)。但Schroepfer將這一數(shù)字上調(diào)了74％，達到8700萬人。

通過Facebook拿到你的私人手機號？其實真的很容易

上個月，Medium用戶Inti De Ceukelaire發(fā)表了一篇文章，“介紹”如何針對Facebook的搜索功能設置，獲取他人的私人電話號碼。

關鍵是，F(xiàn)acebook的這些設置，不禁讓我們想起了很多身邊熟悉的應用，也有幾乎相同的設置。

Inti De Ceukelaire在研究的過程中，發(fā)現(xiàn)了一些比利時明星和政治家的電話號碼，雖然他使用的這種方法似乎只能在類似比利時這樣的小型國家（1120萬人左右）奏效，但這也表明，這種簡單且高效的攻擊，仍然會讓大量用戶的隱私信息發(fā)生泄漏。

各種被發(fā)現(xiàn)的電話號碼

當“who can look me up by phone（通過手機號碼查找到我）”這個選項被設置為“公開”時，你的電話號碼就會被Facebook公開。

值得一提的是，這個選項是默認“public（公開）”；其次，雖然用戶可以將個人資料中的電話號碼設置為“only me（僅對自己看見），但如果用戶設置能夠“通過手機號碼查找到我”，那么這個“only me”設置便會失效。

Who can look me up by phone（通過手機號碼查找到我）選項

這個設置只能決定你的電話號碼是否會出現(xiàn)在個人資料中，而你的電話號碼是否會被公開其實跟這個設置沒多大關系。

很多用戶可能會認為自己的電話號碼他人是看不見的，而事實并非如此。

很多用戶根本不知道Facebook有他們的電話號碼，雖然Facebook不能直接從用戶的手機中提取出電話號碼，但Facebook會不斷提醒用戶綁定手機號，為了方便登錄和密碼找回。

頗為諷刺：雖然Facebook不能直接從你的手機中提取出電話號碼，但是Facebook會不斷地提醒用戶綁定手機號

De Ceukelaire進行了一系列實驗，最終得出結論是，如果你的Facebook綁定了手機號，那么你就沒有任何辦法隱藏自己的手機號碼，無論你怎樣做，你的“朋友”都能夠看到你的號碼。

但是，當他把這一發(fā)現(xiàn)告知Facebook安全團隊后，得到的答復不免讓人有些吃驚，簡單說，F(xiàn)acebook（至少在當時）不認為這是一個安全問題。

接著，Inti De Ceukelaire描述了他如何使用Facebook在2013年初推出的一款社交搜索工具Graph Search，結合其他一些并不復雜的手段，通過反向搜索，最終得到Facebook用戶私人電話號碼的方法。

Facebook將在全球范圍執(zhí)行史上最嚴隱私保護條例

扎克伯格昨天在電話會議上承諾，F(xiàn)acebook將在全球范圍使用歐盟“通用數(shù)據(jù)保護條例”（GDPR）。扎克伯格說：“總的來說我認為這樣的規(guī)定是非常積極的。我們將在所有地區(qū)遵守這一條例，不僅是在歐洲?！?/p>

GDPR被認為是史上最嚴的用戶數(shù)據(jù)和隱私保護條例，該條例經(jīng)歐盟投票和商討四年之久，于2016年4月14日出臺，包括 91 個條文，共計 204 頁。GDPR 將于 5 月 25 日生效，并將要求數(shù)據(jù)管理者（data controller）向用戶解釋他們打算收集的個人數(shù)據(jù)以及原因。

根據(jù)TechCrunch的報道，F(xiàn)acebook計劃實施自定義受眾認證工具（Custom Audiences Certification Tool），該工具將要求企業(yè)保證他們?yōu)閺V告定向上傳到Facebook用戶電子郵件地址和電話號碼已經(jīng)獲得用戶準許。

Facebook CTO Mike Schroepfer在博客中詳細介紹了新的第三方用戶信息權限，包括9大變化：

EventsAPI：此前，人們可以授予應用獲取關于他們主持或參加的活動信息的權限，包括私人活動。這樣就能很容易地將Facebook活動添加到日歷、票務或其他應用程序。但是，F(xiàn)acebook活動包含有關其他人的出席信息以及留言板上的帖子，所以確保應用程序正確使用其訪問權非常重要。從今天開始，使用該API的app將不再能夠訪問其他人的出席信息或發(fā)布在留言板上的活動信息。而且未來將只有Facebook批準的、同意嚴格要求的app才可以使用Events API。

Groups API：目前，應用程序需要 Groups 的管理員或成員的權限才能訪問封閉組的內(nèi)容，以及需要管理員的同意才能訪問對私密組。 這些應用程序可幫助管理員輕松發(fā)布和回復組內(nèi)的帖子。 但是，我們希望確保更好地保護群組中的成員和對話信息。未來，使用Groups API的所有第三方應用程序都需要Facebook和管理員的批準，以確保他們不損害群組。應用程序?qū)⒉辉倌軌蛟L問組內(nèi)成員列表。此外，我們還刪除了應用程序可以訪問的帖子或評論的個人信息，例如姓名和個人資料照片。

Pages API：此前，任何應用程序都可以使用Pages API從任何頁面讀取帖子或評論。這允許開發(fā)人員為頁面所有者創(chuàng)建工具，幫助他們完成日程安排、發(fā)帖和回復評論等。但這也讓應用程序得以訪問更多的數(shù)據(jù)。我們希望確保網(wǎng)頁信息僅適用于向社區(qū)提供有用服務的應用程序。 因此，從今天開始，所有對Pages API的訪問都需要得到Facebook的批準。

Facebook登錄：兩周前我們宣布了對Facebook登錄進行重大更改。從今天開始，F(xiàn)acebook將需要批準所有需要訪問信息的應用，例如登入，喜歡，照片，帖子，視頻，活動和群組。我們在2014年開始批準這些權限，但現(xiàn)在我們正在收緊審查流程，要求這些應用程序在訪問此數(shù)據(jù)之前同意嚴格的要求。我們也將不再允許應用程序訪問個人信息，如宗教或政治觀點，關系狀態(tài)，自定義朋友列表，教育和工作歷史，健身活動，閱讀活動，音樂聆聽活動，新聞閱讀，視頻等的觀看活動和游戲活動。在接下來的一周中，如果過去3個月內(nèi)用戶沒有使用該應用，我們將會取消開發(fā)人員請求獲取這些數(shù)據(jù)的能力。

Instagram Platform API：我們宣布今天起棄用Instagram Platform API。

搜索和帳戶恢復：此前，用戶可以將其他人的電話號碼或電子郵件地址輸入到Facebook搜索中以幫助找到他們。這對于在不知道全名或相同名字的人太多時，找到你的朋友特別有用。例如，在孟加拉國，這一功能占所有搜索的7％。但是，惡意行為者會濫用這一功能，通過輸入他們已經(jīng)通過搜索和帳戶恢復獲得的電話號碼或電子郵件地址來獲取公開的個人資料信息。鑒于我們發(fā)現(xiàn)這種濫用的規(guī)模之大和復雜性，我們認為Facebook上的大多數(shù)人可能已經(jīng)以這種方式泄露了他們的公開個人信息。所以，我們現(xiàn)在禁用了這個功能。我們還對帳戶恢復進行了更改，以降低泄露信息的風險。

呼叫和文本歷史記錄：呼叫和文本歷史記錄是Android上使用Messenger或Facebook Lite的用戶可以選擇的功能。這意味著我們可以在聯(lián)系人列表頂部顯示最常聯(lián)系的人。我們已審核此功能，以確認Facebook不收集郵件內(nèi)容，并且會刪除所有超過一年的日志。將來，客戶端只會向我們的服務器上傳提供此功能所需的信息，而不提供更廣泛的數(shù)據(jù)，例如通話時間。

數(shù)據(jù)提供商和 Partner Categories：上周我們宣布關閉了 Partner Categories的功能，該功能可讓第三方數(shù)據(jù)提供商直接在Facebook上提供廣告定向。

App控制：最后，從4月9日開始，我們會在用戶新聞Feed的頂部顯示一個鏈接，以便他們可以查看他們使用的所有App，以及他們與這些App共享的信息。用戶也可以刪除他們不再需要的App。鏈接里也會告訴每位用戶他們的信息是否可能已經(jīng)被Cambridge Analytica不正當獲取。

用戶通知的預覽

總的來說，我們認為高達8700萬人（主要在美國）的Facebook信息可能已經(jīng)被Cambridge Analytica公司不正當?shù)毓蚕怼?/p>

個人數(shù)據(jù)被Cambridge Analytica公司不正當獲取的用戶來源

總體而言，我們相信這些變化將更好地保護人們的信息，同時允許開發(fā)人員創(chuàng)造有用的體驗。我們知道我們需要做更多的工作，并且今后在實行更多更改時，我們會隨時通過官方博客更新。

扎克伯格：不打算辭職，我開創(chuàng)了Facebook，我運營它，我負責

Facebook CTO Mike Schroepfe的宣布，發(fā)生在扎克伯格預計召開記者電話會議前的一小時。

時機選得有些巧妙。

但一小時的時間已經(jīng)足以讓人充分體會事情已經(jīng)變得有多糟糕。用戶、業(yè)界和監(jiān)管者的口誅筆伐不斷升級。之前有科技投資者公開指出，扎克伯格應該辭職，讓COO桑德伯格上位。盡管如此，扎克伯格仍然表示，他認為自己是掌管Facebook的最佳人選。

“生活就是從錯誤中吸取教訓，”扎克伯格周三在與記者的電話會議中說： “不論如何，這是我的責任，我開創(chuàng)了Facebook，我運營它，我負責?！?/p>

扎克伯格表示，F(xiàn)acebook等到周三才公布8700萬這一數(shù)據(jù)，是因為希望“徹底弄清情況”，“讓你們有一個全面的理解”。

扎克伯格明確表示，他不打算辭去首席執(zhí)行官職務。到目前為止，他也還沒有開除過任何一個人，并認為最終責任在他自己?！拔也粫褎e人抓來背黑鍋?！?/p>

“我們是一家理想而樂觀的公司，”扎克伯格說：“我們現(xiàn)在知道，我們沒有做足夠的工作來專注于防止數(shù)據(jù)濫用，也沒有充分思考人們?nèi)绾问褂眠@些工具來造成傷害?！?/p>

他說，F(xiàn)acebook現(xiàn)在面臨兩大問題：“首先，我們能否控制我們的系統(tǒng)，其次，我們能否確保我們的系統(tǒng)不會被用來破壞民主?！?/p>

“只讓人們有地方發(fā)聲是不夠的，我們還必須確保人們不會借此傳播假消息?！彼a充說。

具體來說，扎克伯格承認，F(xiàn)acebook必須“確保我們生態(tài)系統(tǒng)中的每個人都能保護人們的信息?！?/p>

這與扎克伯格在3月21日首次對Facebook數(shù)據(jù)門事件做出的回應遙相呼應：當時，扎克伯格承認，F(xiàn)acebook在用戶信息方面犯了錯誤。他說： “我們有責任保護你的數(shù)據(jù)，如果我們不能，那么我們不配為你服務?！?/p>

扎克伯格承諾會調(diào)查那些可以訪問“大量信息”的應用程序，公司接下來將對2018年第三方應用程序可以訪問的信息進行更改。Facebook還計劃限制開發(fā)者對用戶信息的訪問量，限制其為應用提供用戶的姓名、照片和電子郵件地址的信息。如果用戶連續(xù)三個月都沒有使用服務，F(xiàn)acebook會撤銷這款應用程序?qū)δ銛?shù)據(jù)的訪問權限。

CNET報道指出，F(xiàn)acebook數(shù)據(jù)門的核心，不僅僅是Facebook對用戶信息的處理不當，或是揪出責任在誰，而是這家每個月有20億人在使用的公司是否值得信賴。我們是否能夠安心地把地球上三分之一的人的信息交給這個平臺去處理，并讓這個信息交換平臺繼續(xù)成為我們生活的核心組成部分。